Android.Vo1d: хакеры проникают в дома через ТВ-приставки
NewsMakerМассовое заражение 1,3 млн устройств по всему миру заставило рассмотреть опасность поближе.
Специалисты Dr.Web обнаружили новый случай массового заражения ТВ-приставок на базе Android . Вредоносная программа, получившая название Android.Vo1d, поразила около 1,3 миллиона устройств в 197 странах.
Android.Vo1d представляет собой бэкдор, который размещает свои компоненты в системной области памяти устройства. При получении команд от злоумышленников он способен незаметно загружать и устанавливать стороннее программное обеспечение.
В августе 2024 года в Doctor Web обратились пользователи, чьи антивирусы Dr.Web обнаружили изменения в системных файлах их ТВ-приставок. Проблема затронула модели:
Файлы vo1d и wd являются компонентами троянской программы Android.Vo1d. Злоумышленники попытались замаскировать один из компонентов под системную программу /system/bin/vold, заменив букву «l» на цифру «1» в названии.
Троян вносит изменения в скрипт install-recovery.sh, который запускается при старте операционной системы, чтобы обеспечить автозапуск компонента wd. Также модифицируется файл daemonsu, отвечающий за предоставление root-привилегий, с той же целью. Файл debuggerd, обычно используемый для создания отчётов об ошибках, заменяется скриптом, запускающим компонент wd.
Android.Vo1d использует несколько методов для обеспечения своей активности на зараженных устройствах:
Основная функциональность Android.Vo1d содержится в компонентах vo1d и wd, которые работают в паре. Модуль vo1d запускает wd и контролирует его активность, перезапуская процесс при необходимости. Оба модуля могут загружать и запускать исполняемые файлы, а также устанавливать обнаруженные APK-файлы.
По данным Doctor Web, наибольшее число заражений зарегистрировано в Бразилии, Марокко, Пакистане, Саудовской Аравии, Аргентине, России, Эквадоре, Тунисе, Малайзии, Алжире и Индонезии.
Источник заражения ТВ-приставок пока неизвестен. Возможно, используется промежуточное вредоносное ПО, эксплуатирующее уязвимости ОС для получения root-доступа, или неофициальные версии прошивок с встроенными привилегиями.
Одной из причин выбора злоумышленниками именно ТВ-приставок может быть то, что эти устройства часто работают на устаревших версиях Android с неустранёнными уязвимостями. Некоторые производители используют старые версии ОС, выдавая их за более новые, чтобы повысить привлекательность устройств. Пользователи могут ошибочно считать ТВ-приставки более защищёнными, чем смартфоны, и реже устанавливать на них антивирусное ПО, что повышает риск заражения при загрузке сторонних приложений или установке неофициальной прошивки.
Специалисты Dr.Web обнаружили новый случай массового заражения ТВ-приставок на базе Android . Вредоносная программа, получившая название Android.Vo1d, поразила около 1,3 миллиона устройств в 197 странах.
Android.Vo1d представляет собой бэкдор, который размещает свои компоненты в системной области памяти устройства. При получении команд от злоумышленников он способен незаметно загружать и устанавливать стороннее программное обеспечение.
В августе 2024 года в Doctor Web обратились пользователи, чьи антивирусы Dr.Web обнаружили изменения в системных файлах их ТВ-приставок. Проблема затронула модели:
- R4 (Android 7.1.2);
- TV BOX (Android 12.1);
- KJ-SMART4KVIP (Android 10.1).
Файлы vo1d и wd являются компонентами троянской программы Android.Vo1d. Злоумышленники попытались замаскировать один из компонентов под системную программу /system/bin/vold, заменив букву «l» на цифру «1» в названии.
Троян вносит изменения в скрипт install-recovery.sh, который запускается при старте операционной системы, чтобы обеспечить автозапуск компонента wd. Также модифицируется файл daemonsu, отвечающий за предоставление root-привилегий, с той же целью. Файл debuggerd, обычно используемый для создания отчётов об ошибках, заменяется скриптом, запускающим компонент wd.
Android.Vo1d использует несколько методов для обеспечения своей активности на зараженных устройствах:
- Модификация стартового скрипта: изменяет файл install-recovery.sh, который запускается при старте системы, добавляя в него свои компоненты.
- Эксплуатация прав суперпользователя: модифицирует файл daemonsu, связанный с root-правами, для запуска вредоносного ПО при загрузке.
- Замена системного демона: заменяет системный демон debuggerd на вредоносный скрипт для запуска своих компонентов.
Основная функциональность Android.Vo1d содержится в компонентах vo1d и wd, которые работают в паре. Модуль vo1d запускает wd и контролирует его активность, перезапуская процесс при необходимости. Оба модуля могут загружать и запускать исполняемые файлы, а также устанавливать обнаруженные APK-файлы.
По данным Doctor Web, наибольшее число заражений зарегистрировано в Бразилии, Марокко, Пакистане, Саудовской Аравии, Аргентине, России, Эквадоре, Тунисе, Малайзии, Алжире и Индонезии.
Источник заражения ТВ-приставок пока неизвестен. Возможно, используется промежуточное вредоносное ПО, эксплуатирующее уязвимости ОС для получения root-доступа, или неофициальные версии прошивок с встроенными привилегиями.
Одной из причин выбора злоумышленниками именно ТВ-приставок может быть то, что эти устройства часто работают на устаревших версиях Android с неустранёнными уязвимостями. Некоторые производители используют старые версии ОС, выдавая их за более новые, чтобы повысить привлекательность устройств. Пользователи могут ошибочно считать ТВ-приставки более защищёнными, чем смартфоны, и реже устанавливать на них антивирусное ПО, что повышает риск заражения при загрузке сторонних приложений или установке неофициальной прошивки.