本文来自微信公众号“嘶吼专业版”,作者/胡金鱼。
Android开源项目(AOSP)是由Google领导的开源操作系统,可用于移动、流媒体和物联网设备。日前,安全研究人员发现威胁者已经用一种新的Vo1d后门恶意软件感染了超过130万个运行Android的电视流媒体盒,从而使攻击者能够完全控制这些设备。
Dr.Web在一份新报告中表示,研究人员发现,超过200个国家/地区有130万台设备感染了Vo1d恶意软件,其中巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄罗斯、阿根廷、厄瓜多尔、突尼斯、马来西亚、阿尔及利亚和印度尼西亚等国感染数量最多。
受Vo1d感染的电视盒的地理分布
此次恶意软件活动所针对的Android固件包括:
·Android 7.1.2;
·R4构建/NHG47K Android 12.1;
·电视盒构建/NHG47K Android 10.1;
·KJ-SMART4KVIP构建/NHG47K。
根据安装的Vo1d恶意软件的版本,该活动将修改install-recovery.sh、daemonsu,或替换debuggerd操作系统文件,这些都是Android中常见的启动脚本。
修改install-recovery.sh文件
恶意软件活动使用这些脚本来保持持久性并在启动时启动Vo1d恶意软件。
Vo1d恶意软件本身位于wd和vo1d文件中,该恶意软件以这两个文件命名。Android.Vo1d的主要功能隐藏在其vo1d(Android.Vo1d.1)和wd(Android.Vo1d.3)组件中,这两个组件协同运行。
Android.Vo1d.1模块负责Android.Vo1d.3的启动并控制其活动,必要时重新启动其进程。此外,它还可以在C&C服务器发出命令时下载并运行可执行文件。反过来,Android.Vo1d.3模块会安装并启动加密并存储在其主体中的Android.Vo1d.5守护进程。该模块还可以下载并运行可执行文件。此外,它还会监视指定目录并安装在其中找到的APK文件。
虽然Dr.Web不知道Android流媒体设备是如何受到攻击的,但研究人员认为它们之所以成为攻击目标,是因为它们通常运行会存在漏洞的过时软件。
Dr.Web总结道:“一种可能的感染媒介可能是利用操作系统漏洞获取root权限的中间恶意软件的攻击。另一种可能的媒介可能是使用内置root访问权限的非官方固件版本。”
为了防止感染此恶意软件,建议Android用户在有新固件更新时检查并安装。此外,请务必从互联网上删除这些盒子,以防它们通过暴露的服务被远程利用。同样重要的是,避免在Android上安装来自第三方网站的Android应用程序作为APK,因为它们是恶意软件的常见来源。
9月12号最新公告表示,受感染的设备并未运行Android TV,而是使用Android开放源代码项目(AOSP)。
Google发言人表示:“这些被发现感染的杂牌设备不是经过Play Protect认证的Android设备。如果设备未通过Play Protect认证,Google就没有安全性和兼容性测试结果记录。”
目前经过Play Protect认证的Android设备已经经过测试,以确保质量和用户安全。为了用户确认设备是否采用Android TV操作系统和经过Play Protect认证,Android TV网站提供了最新的合作伙伴列表,用户可以按照相应步骤检查设备是否经过Play Protect认证。
