130万台安卓电视盒被植入后门，研究人员仍未找到感染源

创作时间:

作者:

@小白创作中心

130万台安卓电视盒被植入后门，研究人员仍未找到感染源

引用

网易

https://m.163.com/dy/article/JC2F04RG0511RU8P.html

安全公司Doctor Web近日发布报告称，一种名为Android.Vo1d的恶意软件已经感染了全球近200个国家的约130万台运行开源安卓版本的流媒体设备。这些设备主要运行基于Android Open Source Project（AOSP）的操作系统，与仅限授权设备制造商使用的专有版本Android TV不同。

恶意软件工作原理

Android.Vo1d通过在系统存储区域植入恶意组件来给基于安卓的电视盒植入后门，这些组件可以被命令和控制服务器随时更新为额外的恶意软件。尽管Doctor Web对Vo1d及其异常广泛的传播有深入了解，但公司研究人员表示，他们尚未确定导致感染的攻击途径。

感染途径分析

目前，电视盒后门感染的来源尚不清楚。一种可能的感染途径是中间恶意软件通过利用操作系统漏洞获得根权限的攻击。另一种可能的途径是使用具有内置根访问权限的非官方固件版本。此外，这些设备运行的是容易被利用的旧版本，这些旧版本可以远程执行恶意代码。

例如，版本7.1、10.1和12.1分别在2016年、2019年和2022年发布。Doctor Web表示，预算设备制造商安装旧操作系统版本并将其冒充为更新型号是很常见的做法。此外，虽然只有获得授权的设备制造商才被允许修改谷歌的Android TV，但任何设备制造商都可以随意更改开源版本。这使得设备在供应链中被感染的可能性增加，最终用户购买时已经被感染。

恶意软件变体分析

Doctor Web表示，Vo1d有几十种变体，它们使用不同的代码并将恶意软件植入略微不同的存储区域，但都实现了相同的最终结果：连接到攻击者控制的服务器并安装最终组件，该组件可以在接到指令时安装额外的恶意软件。VirusTotal显示，大多数Vo1d变体几个月前首次被上传到恶意软件识别网站。

感染迹象

受影响的电视盒上更改了以下对象：

install-recovery.sh
daemonsu

此外，其文件系统中出现了4个新文件：

/system/xbin/vo1d
/system/xbin/wd
/system/bin/debuggerd
/system/bin/debuggerd_real

vo1d和wd文件是我们发现的Android.Vo1d木马的组件。木马的作者可能试图将其组件之一伪装成系统程序/system/bin/vold，将其称为相似的名字“vo1d”（将小写字母“l”替换为数字“1”）。恶意程序的名称来源于这个文件的名称。此外，这个拼写与英文单词“void”谐音。

install-recovery.sh文件是大多数安卓设备上存在的脚本。它在操作系统启动时运行，包含自动运行指定元素的数据。如果任何恶意软件具有根访问权限并能够写入/system系统目录，它可以通过将自己添加到此脚本中（或如果系统中不存在则从头创建它）来锚定在感染设备中。Android.Vo1d在此文件中注册了wd组件的自动启动。

daemonsu文件存在于许多具有root访问权限的安卓设备上。它由操作系统在启动时加载，负责为用户提供根权限。Android.Vo1d也将自己注册在此文件中，并设置了wd模块的自动启动。

debuggerd文件通常是用于生成错误报告的守护程序。但在电视盒感染时，此文件被替换为启动wd组件的脚本。在我们审查的案例中，debuggerd_real文件是用于替换实际debuggerd文件的脚本副本。Doctor Web专家认为，木马的作者打算将原始debuggerd移动到debuggerd_real以维护其功能。然而，由于感染可能发生了两次，木马移动了已经替换的文件（即脚本）。结果，设备有两个来自木马的脚本，而没有一个真正的debuggerd程序文件。

同时，其他联系我们的用户的感染设备上有略微不同的文件列表：

daemonsu（vo1d文件的类似物——Android.Vo1d.1）
wd（Android.Vo1d.3）
debuggerd（上述相同的脚本）
debuggerd_real（debuggerd工具的原始文件）
install-recovery.sh（加载指定对象的脚本）

对上述所有文件的分析显示，为了在系统中锚定Android.Vo1d，其作者至少使用了三种不同的方法：修改install-recovery.sh和daemonsu文件，以及替换debuggerd程序。他们可能预计感染系统中至少会存在一个目标文件，因为即使只操纵一个文件也能确保木马在后续设备重启时成功自动启动。

Android.Vo1d的主要功能隐藏在其vo1d（Android.Vo1d.1）和wd（Android.Vo1d.3）组件中，这些组件协同工作。Android.Vo1d.1模块负责启动Android.Vo1d.3并控制其活动，必要时重新启动其进程。此外，它可以在C&C服务器的命令下下载并运行可执行文件。反过来，Android.Vo1d.3模块安装并启动加密并存储在其体内的Android.Vo1d.5守护程序。该模块还可以下载并运行可执行文件。此外，它监控指定目录并安装在其中找到的APK文件。