Los actores de amenazas han infectado más de 1,3 millones de cajas de transmisión de Android TV con el nuevo malware de puerta trasera Vo1d, lo que permite a los atacantes tomar el control total de los dispositivos.
Android TV es el sistema operativo de Google para televisores inteligentes y dispositivos de transmisión, que ofrece una interfaz de usuario optimizada para televisores y navegación remota, Asistente de Google integrado, Chromecast integrado, soporte para TV en vivo y la capacidad de instalar aplicaciones.
El sistema operativo admite funciones de televisores inteligentes de muchos fabricantes, incluidos los televisores TCL, Hisense y Vizio. También sirve como sistema operativo para dispositivos independientes de transmisión de medios de TV, como NVIDIA Shield.
En un nuevo informe de Dr.Web, los investigadores encontraron 1,3 millones de dispositivos infectados con el malware Vo1d en más de 200 países, siendo el mayor número detectado en Brasil, Marruecos, Pakistán, Arabia Saudita, Rusia, Argentina, Ecuador, Túnez, Malasia. Argelia e Indonesia.
Fuente: Dr.Web
El firmware de Android TV objetivo de esta campaña de malware incluye:
- Android 7.1.2; versión R4/NHG47K
- Android 12.1; Caja de TV/NHG47K
- Android 10.1; versión KJ-SMART4KVIP/NHG47K
Dependiendo de la versión del malware Vo1d instalada, la campaña modificará la install-recovery.sh, daemonsuo reemplazarlo debuggerd archivos del sistema operativo, todos los cuales son scripts de inicio que se encuentran comúnmente en Android TV.
Fuente: Dr.Web
La campaña de malware utiliza estos scripts para persistir y lanzar el malware Vo1d al inicio.
El malware Vo1d se encuentra en los archivos. wd Y vo1dlo que da nombre al malware.
“Androide.” La funcionalidad principal de Vo1d está oculta en sus componentes vo1d (Android.Vo1d.1) y wd (Android.Vo1d.3), que funcionan en conjunto. explica Dr.Web.
“El módulo Android.Vo1d.1 es responsable de iniciar Android.Vo1d.3 y monitorea su actividad, reiniciando su proceso si es necesario. Además, puede descargar y ejecutar ejecutables cuando así lo solicite el servidor C&C”.
“A su vez, el módulo Android.Vo1d.3 instala y ejecuta el demonio Android.Vo1d.5 que está cifrado y almacenado en su cuerpo. Este módulo también puede descargar y ejecutar ejecutables. Además, monitorea directorios específicos e instala los archivos APK. se encuentra allí.”
Aunque Dr.Web no sabe cómo se ven comprometidos los dispositivos de streaming Android TV, los investigadores creen que son atacados porque normalmente ejecutan software obsoleto con vulnerabilidades.
“Un posible vector de infección podría ser un ataque de malware intermediario que aproveche las vulnerabilidades del sistema operativo para obtener privilegios de root”, concluye Dr.Web.
“Otro posible vector podría ser el uso de versiones de firmware no oficiales con acceso root integrado. »
Para evitar la infección con este malware, se recomienda a los usuarios de Android TV que busquen e instalen nuevas actualizaciones de firmware tan pronto como estén disponibles. También asegúrese de eliminar estos cuadros de Internet en caso de que sean explotados de forma remota a través de servicios expuestos.
Por último, pero no menos importante, evite instalar aplicaciones de Android en formato APK desde sitios de terceros en Android TV, ya que son una fuente común de malware.
Una lista de IOC para la campaña de malware Vo1d está disponible en Página del Dr. Web GitHub.