1,3 milhões de caixas de TV baseadas em Android foram hackeadas; pesquisadores ainda não sabem como

Pesquisadores ainda não sabem a causa de uma infecção de malware descoberta recentemente que afeta quase 1,3 milhão de dispositivos de streaming que executam uma versão de código aberto do Android em quase 200 países.

Empresa de segurança Doctor Web relatado quinta-feira que o malware chamado Android.Vo1d fez backdoor nas caixas baseadas em Android colocando componentes maliciosos em sua área de armazenamento do sistema, onde eles podem ser atualizados com malware adicional a qualquer momento por servidores de comando e controle. Representantes do Google disseram que os dispositivos infectados estão executando sistemas operacionais baseados no Android Open Source Project, uma versão supervisionada pelo Google, mas distinta do Android TV, uma versão proprietária restrita a fabricantes de dispositivos licenciados.

Dezenas de variantes

Embora a Doctor Web tenha um conhecimento profundo do Vo1d e do alcance excepcional que ele alcançou, os pesquisadores da empresa dizem que ainda precisam determinar o vetor de ataque que levou às infecções.

“No momento, a fonte da infecção de backdoor das TV boxes permanece desconhecida”, afirmou o post de quinta-feira. “Um possível vetor de infecção pode ser um ataque de um malware intermediário que explora vulnerabilidades do sistema operacional para obter privilégios de root. Outro possível vetor pode ser o uso de versões de firmware não oficiais com acesso root integrado.”

Os seguintes modelos de dispositivos infectados pelo Vo1d são:

Uma possível causa das infecções é que os dispositivos estão executando versões desatualizadas que são vulneráveis ​​a exploits que executam remotamente códigos maliciosos neles. As versões 7.1, 10.1 e 12.1, por exemplo, foram lançadas em 2016, 2019 e 2022, respectivamente. Além disso, o Doctor Web disse que não é incomum que fabricantes de dispositivos de baixo custo instalem versões mais antigas do sistema operacional em caixas de streaming e as façam parecer mais atraentes, passando-as como modelos mais atualizados.

Além disso, embora apenas fabricantes de dispositivos licenciados tenham permissão para modificar o AndroidTV do Google, qualquer fabricante de dispositivos é livre para fazer alterações em versões de código aberto. Isso deixa aberta a possibilidade de que os dispositivos tenham sido infectados na cadeia de suprimentos e já estivessem comprometidos no momento em que foram comprados pelo usuário final.

“Esses dispositivos de marca desconhecida descobertos como infectados não estavam Dispositivos Android certificados pelo Play Protect”, disse o Google em um comunicado. “Se um dispositivo não for certificado pelo Play Protect, o Google não tem um registro dos resultados dos testes de segurança e compatibilidade. Os dispositivos Android certificados pelo Play Protect passam por testes extensivos para garantir a qualidade e a segurança do usuário.”

A declaração disse que as pessoas podem confirmar se um dispositivo roda o sistema operacional Android TV verificando este link e seguindo os passos listados aqui.

O Doctor Web disse que há dezenas de variantes do Vo1d que usam códigos diferentes e plantam malware em áreas de armazenamento ligeiramente diferentes, mas que todas alcançam o mesmo resultado final de se conectar a um servidor controlado pelo invasor e instalar um componente final que pode instalar malware adicional quando instruído. O VirusTotal mostra que a maioria das variantes do Vo1d foram carregadas pela primeira vez no site de identificação de malware há vários meses.

Os pesquisadores escreveram:

Todos esses casos envolveram sinais semelhantes de infecção, então os descreveremos usando uma das primeiras solicitações que recebemos como exemplo. Os seguintes objetos foram alterados na caixa de TV afetada:

• instalar-recuperação.sh
• demônio su

Além disso, 4 novos arquivos surgiram em seu sistema de arquivos:

• /sistema/xbin/vo1d
• /sistema/xbin/wd
• /sistema/bin/depuradord
• /sistema/bin/debuggerd_real

O vo1d e WD (mão) os arquivos são os componentes do Android.Vo1d trojan que descobrimos.

Os autores do trojan provavelmente tentaram disfarçar um de seus componentes como o programa de sistema /system/bin/vold, tendo-o chamado pelo nome parecido “vo1d” (substituindo a letra minúscula “l” pelo número “1”). O nome do programa malicioso vem do nome deste arquivo. Além disso, esta grafia é consoante com a palavra em inglês “void”.

O instalar-recuperação.sh arquivo é um script que está presente na maioria dos dispositivos Android. Ele é executado quando o sistema operacional é iniciado e contém dados para execução automática dos elementos especificados nele. Se algum malware tiver acesso root e a capacidade de gravar no /sistema diretório do sistema, ele pode se ancorar no dispositivo infectado adicionando-se a esse script (ou criando-o do zero, se não estiver presente no sistema). Android.Vo1d registrou o início automático para o WD (mão) componente neste arquivo.

O demônio su arquivo está presente em muitos dispositivos Android com acesso root. Ele é iniciado pelo sistema operacional quando ele inicia e é responsável por fornecer privilégios root ao usuário. Android.Vo1d registrou-se neste arquivo também, tendo também configurado a inicialização automática para o WD (mão) módulo.

O depuradord arquivo é um daemon que normalmente é usado para criar relatórios sobre erros ocorridos. Mas quando a caixa de TV foi infectada, esse arquivo foi substituído pelo script que inicia o WD (mão) componente.

O depuradord_real arquivo no caso que estamos revisando é uma cópia do script que foi usado para substituir o real depuradord arquivo. Os especialistas do Doctor Web acreditam que os autores do trojan pretendiam o original depuradord para ser movido para depuradord_real para manter sua funcionalidade. No entanto, como a infecção provavelmente ocorreu duas vezes, o trojan moveu o arquivo já substituído (ou seja, o script). Como resultado, o dispositivo tinha dois scripts do trojan e nenhum real depuradord arquivo de programa.

Ao mesmo tempo, outros usuários que nos contataram tinham uma lista ligeiramente diferente de arquivos em seus dispositivos infectados:

• demônio su (o vo1d arquivo analógico — Android.Vo1d.1);
• WD (mão) (Android.Vo1d.3);
• depuradord (o mesmo script descrito acima);
• depuradord_real (o arquivo original do depuradord ferramenta);
• instalar-recuperação.sh (um script que carrega objetos especificados nele).

A análise de todos os arquivos acima mencionados mostrou que, para ancorar Android.Vo1d no sistema, seus autores utilizaram pelo menos três métodos diferentes: modificação do instalar-recuperação.sh e demônio su arquivos e substituição do depuradord programa. Eles provavelmente esperavam que pelo menos um dos arquivos alvo estivesse presente no sistema infectado, já que manipular até mesmo um deles garantiria o lançamento automático bem-sucedido do trojan durante reinicializações subsequentes do dispositivo.

Android.Vo1dA principal funcionalidade do está oculta em seu vo1d (Android.Vo1d.1) e WD (mão) (Android.Vo1d.3) componentes, que operam em conjunto. O Android.Vo1d.1 O módulo é responsável por Android.Vo1d.3's lança e controla sua atividade, reiniciando seu processo se necessário. Além disso, ele pode baixar e executar executáveis ​​quando comandado para fazê-lo pelo servidor C&C. Por sua vez, o Android.Vo1d.3 módulo instala e inicia o Android.Vo1d.5 daemon que é criptografado e armazenado em seu corpo. Este módulo também pode baixar e executar executáveis. Além disso, ele monitora diretórios especificados e instala os arquivos APK que encontra neles.

A distribuição geográfica das infecções é ampla, com o maior número detectado no Brasil, Marrocos, Paquistão, Arábia Saudita, Rússia, Argentina, Equador, Tunísia, Malásia, Argélia e Indonésia.

Não é especialmente fácil para pessoas menos experientes verificar se um dispositivo está infectado sem instalar scanners de malware. A Doctor Web disse que seu software antivírus para Android detectará todas as variantes do Vo1d e desinfetará dispositivos que fornecem acesso root. Usuários mais experientes podem verificar indicadores de comprometimento aqui.