新型Vo1d恶意软件曝光,超130万台安卓电视设备已中招
新型Vo1d恶意软件曝光,超130万台安卓电视设备已中招
近日,安全研究人员发现一种新型Vo1d恶意软件正在全球范围内大规模感染安卓电视设备。据统计,已有超过130万台设备遭到入侵,涉及200多个国家和地区。这种恶意软件能够完全控制受感染设备,给用户隐私和安全带来严重威胁。
受Vo1d感染电视盒的地理分布,图源:Dr.Web
Android TV是谷歌针对智能电视和流媒体设备推出的操作系统,为电视和远程导航提供了优化的用户界面,集成了谷歌助手,内置Chromecast,支持电视直播,并能安装应用程序。该操作系统为包括TCL、海信和Vizio电视在内的众多制造商提供智能电视功能。它还是英伟达Shield等独立电视流媒体设备的操作系统。
在Dr.Web的最新报告中,研究人员发现有200多个国家的130万台设备都感染了Vo1d恶意软件,其中在巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄罗斯、阿根廷、厄瓜多尔、突尼斯、马来西亚、阿尔及利亚和印度尼西亚检测到的数量最多。
受影响的设备范围
在此次恶意软件活动中,被视为目标的安卓电视固件包括:
- 安卓7.1.2;R4版本/NHG47K
- 安卓12.1;电视盒版本/NHG47K
- 安卓10.1;KJ-SMART4KVIP Build/NHG47K
恶意软件的工作原理
根据安装的Vo1d恶意软件版本,该活动将修改或替换操作系统文件,所有这些文件都是Android TV中常见的启动脚本。
- install-recovery.sh
- daemonsu
- debuggerd
修改后的install-recovery.sh文件,图源:Dr.Web
该恶意软件活动利用这些脚本实现持久性,并在启动时激活Vo1d恶意软件。Vo1d恶意软件本身位于文件中,这些文件的名称就是以该恶意软件命名的。Dr.Web解释称,Android.Vo1d的主要功能隐藏在其vo1d(Android.Vo1d.1)和wd(Android.Vo1d.3)组件中,这两个组件协同工作。
- Android.Vo1d.1模块负责启动Android.Vo1d.3并控制其活动,必要时重启其进程。此外,它还可以在C&C服务器的指令下下载并运行可执行文件。
- Android.Vo1d.3模块负责安装并启动加密并存储在其体内的Android.Vo1d.5守护进程。该模块还可以下载并运行可执行文件。此外,它监控指定的目录,并安装在其中找到的APK文件。
感染途径分析
尽管Dr.Web尚不清楚Android电视流媒体设备是如何被入侵的,但研究人员认为,这些设备之所以成为攻击目标,是因为它们通常运行着带有漏洞的过时软件。
其中最有可能的感染途径或许是中间恶意软件的攻击,该软件利用操作系统漏洞来获取root权限。另一个可能的途径可能是使用内置root访问权限的非官方固件版本。
防范建议
为了防止这种恶意软件的感染,建议Android电视用户采取以下措施:
- 检查并安装新固件更新
- 确保在它们通过暴露的服务被远程利用的情况下,将这些设备从互联网上移除
- 避免在Android电视上从第三方网站安装APK形式的Android应用程序,因为它们是恶意软件的常见来源
本文原文来自CSDN