Los actores maliciosos han infectado más de 1,3 millones de cajas de transmisión de TV que ejecutan Android con el nuevo malware de puerta trasera Vo1d, lo que permite a los atacantes tomar el control total de los dispositivos.
El Proyecto de código abierto de Android (AOSP) es un sistema operativo de código abierto liderado por Google que se puede utilizar en dispositivos móviles, de transmisión y de IoT.
En un nuevo informe de Dr.Web, los investigadores encontraron 1,3 millones de dispositivos infectados con el malware Vo1d en más de 200 países, siendo el mayor número detectado en Brasil, Marruecos, Pakistán, Arabia Saudita, Rusia, Argentina, Ecuador, Túnez, Malasia. Argelia e Indonesia.
Fuente: Dr.Web
El firmware de Android objetivo de esta campaña de malware incluye:
- Android 7.1.2; versión R4/NHG47K
- Android 12.1; Caja de TV/NHG47K
- Android 10.1; versión KJ-SMART4KVIP/NHG47K
Dependiendo de la versión del malware Vo1d instalada, la campaña modificará la install-recovery.sh, daemonsuo reemplazarlo debuggerd archivos del sistema operativo, todos los cuales son scripts de inicio que se encuentran comúnmente en Android.
Fuente: Dr.Web
La campaña de malware utiliza estos scripts para persistir y lanzar el malware Vo1d al inicio.
El malware Vo1d se encuentra en los archivos. wd Y vo1dlo que da nombre al malware.
«Androide.» La funcionalidad principal de Vo1d está oculta en sus componentes vo1d (Android.Vo1d.1) y wd (Android.Vo1d.3), que funcionan en conjunto. explica Dr.Web.
«El módulo Android.Vo1d.1 es responsable de iniciar Android.Vo1d.3 y monitorea su actividad, reiniciando su proceso si es necesario. Además, puede descargar y ejecutar ejecutables cuando así lo solicite el servidor C&C».
«A su vez, el módulo Android.Vo1d.3 instala y ejecuta el demonio Android.Vo1d.5 que está cifrado y almacenado en su cuerpo. Este módulo también puede descargar y ejecutar ejecutables. Además, monitorea directorios específicos e instala los archivos APK. se encuentra allí.»
Aunque Dr.Web no sabe cómo se ven comprometidos los dispositivos de streaming Android, los investigadores creen que son atacados porque normalmente ejecutan software obsoleto y con vulnerabilidades.
«Un posible vector de infección podría ser un ataque de malware intermediario que aproveche las vulnerabilidades del sistema operativo para obtener privilegios de root», concluye Dr.Web.
“Otro posible vector podría ser el uso de versiones de firmware no oficiales con acceso root integrado. »
Para evitar la infección con este malware, se recomienda a los usuarios de Android que busquen e instalen nuevas actualizaciones de firmware tan pronto como estén disponibles. También asegúrese de eliminar estos cuadros de Internet en caso de que sean explotados remotamente a través de servicios expuestos.
Por último, pero no menos importante, evite instalar aplicaciones de Android en formato APK desde sitios de terceros en Android, ya que son una fuente común de malware.
Una lista de IOC para la campaña de malware Vo1d está disponible en Página del Dr. Web GitHub.
Actualización 12/09/24: Google le dijo a BleepingComputer que los dispositivos infectados no ejecutan Android TV sino que utilizan el Proyecto de código abierto de Android (AOSP).
“Estos dispositivos infectados de otra marca no eran dispositivos Android certificados por Play Protect. Si un dispositivo no tiene la certificación Play Protect, Google no tiene un registro de los resultados de las pruebas de seguridad y compatibilidad. Los dispositivos Android certificados por Play Protect se someten a pruebas exhaustivas para garantizar la calidad y la seguridad del usuario. Para ayudarlo a confirmar si un dispositivo está construido con el sistema operativo Android TV y está certificado por Play Protect, nuestro sitio web de Android TV proporciona la lista más actualizada de socios. También puedes seguir estos pasos para comprobar si tu dispositivo tiene la certificación Play Protect. » – Un portavoz de Google.
El artículo se ha actualizado para reflejar que no utilizan Android TV, que sólo utilizan Google y sus socios licenciantes.
Actualizado el 12/09/24 Se agregó información adicional de Google.
