Los investigadores aún no saben qué causó la infección de malware descubierta recientemente que afecta a casi 1,3 millones de dispositivos de transmisión que ejecutan el sistema operativo Android de código abierto en casi 200 países.
Empresa de seguridad Dr. Web Se informó el jueves El malware, llamado Android.Vo1d, podía comprometer los dispositivos Android colocando componentes maliciosos en el área de almacenamiento del sistema, donde podían actualizarse con malware adicional en cualquier momento a través de servidores de comando y control. Los representantes de Google dijeron que los dispositivos infectados ejecutaban sistemas operativos basados en el Proyecto de Código Abierto de Android, una versión supervisada por Google pero diferente de Android TV, que es una versión especial limitada a fabricantes de dispositivos con licencia.
Docenas de variables
Aunque Doctor Web conoce perfectamente el virus Vo1d y su extraordinario alcance, los investigadores de la empresa afirman que aún no han identificado el vector de ataque que provocó la infección.
«En este momento, la fuente de la infección por puerta trasera de las cajas de TV sigue siendo desconocida», decía la publicación del jueves. «Un posible vector de infección puede ser un ataque de un malware intermedio que aproveche las vulnerabilidades del sistema operativo para obtener privilegios de root. Otro posible vector puede ser el uso de versiones no oficiales de firmware con acceso de root integrado».
Los siguientes dispositivos infectados con el virus Vo1d son:
modelo de caja de televisión
Se ha anunciado la versión del firmware.
R4
Android 7.1.2; Versión R4/NHG47K
caja de televisión
Android 12.1; Versión TV BOX/NHG47K
KJ-Smart 4K VIP
Android 10.1; Versión KJ-SMART4KVIP/NHG47K
Una posible razón de la infección es que los dispositivos ejecutan versiones obsoletas vulnerables a un exploit que ejecuta código malicioso en ellos de forma remota. Por ejemplo, las versiones 7.1, 10.1 y 12.1 se lanzaron en 2016, 2019 y 2022, respectivamente. Además, el Dr. Webb dijo que no es inusual que los fabricantes de dispositivos económicos instalen versiones anteriores de sistemas operativos en cajas de transmisión y las hagan lucir más atractivas presentándolas como modelos más nuevos.
Además, aunque sólo los fabricantes de dispositivos con licencia pueden modificar el AndroidTV de Google, cualquier fabricante de dispositivos es libre de realizar cambios en las versiones de código abierto. Esto deja abierta la posibilidad de que los dispositivos de la cadena de suministro estén infectados y ya comprometidos en el momento en que el usuario final los compre.
“Se descubrió que estos dispositivos infectados que no eran de marca no eran Play Protect dispositivos Android certificados«Si un dispositivo no está certificado a través de Play Protect, Google no tiene registro de los resultados de las pruebas de seguridad y compatibilidad. Los dispositivos Android certificados a través de Play Protect se someten a pruebas exhaustivas para garantizar la calidad y la seguridad del usuario», dijo Google en un comunicado.
El comunicado decía que las personas pueden confirmar que el dispositivo ejecuta el sistema operativo Android TV mediante verificación. Este enlace Y sigue los pasos mencionados. aquí.
Hay docenas de variantes de Vo1d que usan código diferente y colocan malware en áreas de almacenamiento ligeramente diferentes, pero todas logran el mismo resultado final de conectarse a un servidor controlado por un atacante e instalar un componente final que puede instalar malware adicional cuando se le indica que lo haga. , dijo el Dr. Webb. VirusTotal explica que la mayoría de las variantes de Vo1d se cargaron por primera vez en un sitio de identificación de malware hace varios meses.
Los investigadores escribieron:
Todos estos casos presentaban signos de infección similares, por lo que los describiremos usando como ejemplo una de las primeras solicitudes que recibimos. Se han modificado los siguientes objetos en el TV Box afectado:
instalar-recuperación.sh
demonso
Además, aparecieron 4 archivos nuevos en su sistema de archivos:
/sistema/xbin/vo1d
/sistema/xbin/wd
/system/bin/debuggerd
/system/bin/debuggerd_real
el Votar 1D y amistad Los archivos son componentes Android.Vo1d El caballo de Troya que descubrimos.
Es posible que los autores del troyano hayan intentado disfrazar uno de sus componentes como el programa del sistema /system/bin/vold, al que le dieron un nombre similar «vo1d» (reemplazando la «l» minúscula por el número «1»). El nombre del malware proviene del nombre de este archivo. Además, esta ortografía corresponde a la palabra inglesa «void».
el instalar-recuperación.sh El archivo es un script que se encuentra en la mayoría de los dispositivos Android. Se ejecuta cuando se inicia el sistema operativo y contiene datos para ejecutar automáticamente los elementos especificados en él. Si algún malware tiene acceso de root y la capacidad de escribir en /sistema Directorio del sistema, puede instalarse en la máquina infectada agregándose a este script (o creándolo desde cero si no existe en el sistema). Android.Vo1d La reproducción automática se graba durante amistad componente en este archivo.
Archivo install-recovery.sh modificado
doctor web
el demonso El archivo existe en muchos dispositivos Android rooteados. Lo ejecuta el sistema operativo cuando se inicia y es responsable de proporcionar privilegios de root al usuario. Android.Vo1d Lo mismo se grabó en este archivo también, después de configurar la reproducción automática. amistad soledad.
el Depurador El archivo es un demonio que generalmente se usa para generar informes sobre errores ocurridos. Pero cuando el televisor se infectó, este archivo fue reemplazado por el script que ejecuta amistad componente.
el depurador_real El archivo en el caso que estamos revisando es una copia del script que se utilizó para reemplazar el archivo real. Depurador Los expertos de Doctor Web creen que los autores del troyano pretendían que se tratara del archivo original Depurador Para ser transferido a depurador_real Para mantener sus funciones. Sin embargo, dado que la infección puede haber ocurrido dos veces, el troyano ya transmitió el archivo de reemplazo (es decir, el script). Como resultado, el dispositivo contenía dos scripts troyanos y ni un solo archivo real. Depurador Archivo de programa.
Mientras tanto, otros usuarios que se comunicaron con nosotros tenían una lista de archivos ligeramente diferente en sus dispositivos infectados:
depurador_real (Archivo original de Depurador herramienta);
instalar-recuperación.sh (Un script que carga los objetos especificados en él).
El análisis de todos los archivos anteriores mostró que para consolidar Android.Vo1d en sistema, sus autores utilizaron al menos tres métodos diferentes: modificar instalar-recuperación.sh y demonso archivos y reemplazarlos Depurador Probablemente esperaban que al menos uno de los archivos de destino estuviera presente en el sistema infectado, ya que la manipulación de solo uno de ellos garantizaría la ejecución automática exitosa del troyano durante los reinicios posteriores del dispositivo.
Android.Vo1dLa función principal de ‘s está oculta en Votar 1D (Android.Vo1d.1) y amistad (Android.Vo1d.3) Componentes que funcionan en armonía. Android.Vo1d.1 La unidad es responsable de Android.Vo1d.3Ejecuta la actividad de un programa y controla su actividad, reiniciando su proceso si es necesario. Además, puede descargar y ejecutar archivos ejecutables cuando se le solicite desde el servidor C&C. Sucesivamente, Android.Vo1d.3 La unidad se instala y funciona. Android.Vo1d.5 Un programa que está cifrado y almacenado en su cuerpo. Este módulo también puede descargar y ejecutar archivos ejecutables. Además, monitorea directorios específicos e instala los archivos APK que encuentra allí.
La propagación de la infección está ampliamente distribuida geográficamente, con el mayor número de infecciones detectadas en Brasil, Marruecos, Pakistán, Arabia Saudita, Rusia, Argentina, Ecuador, Túnez, Malasia, Argelia e Indonesia.
Dar un golpe de zoom/ Un mapa del mundo que muestra el número de infecciones en diferentes países.
doctor web
A las personas menos experimentadas no les resulta especialmente fácil comprobar si un dispositivo está infectado o no sin instalar un escáner de malware. Doctor Web informó que su antivirus para Android detectará todas las variantes de Vo1d y desinfectará los dispositivos que brindan acceso root. Los usuarios más experimentados pueden comprobar los indicadores de ruptura aquí.
«Gurú del alcohol. Analista. Defensor de la comida. Aficionado extremo al tocino. Experto total en Internet. Adicto a la cultura pop. Pionero de viajes sutilmente encantador».
