1,3 milióna a Android televízorov zasiahol malvér Vo1d. Vyčíňa vo viac ako 200 krajinách
Bezpečnostní experti objavili kampaň malvéru Vo1d, ktorá sa zameriava na Android TV Boxy a televízory. Napadnutých je viac ako 1,3 milióna zariadení.
Bezpečnostní analytici z Dr. WEB odhalili ďalšiu malvérovú kampaň, ktorá sa zameriava na Android smart televízory. Analytici nový malvér nazvali Vo1d a do dnešného dňa napadol takmer 1,3-milióna zariadení po celom svete.
Malvér funguje ako zadné dvierka. Znamená to, že do infikovanej smart televízie implementuje softvér, ktorý dovolí útočníkovi hocikedy neskôr získať kontrolu nad zariadením a nainštalovať tam dodatočný škodlivý softvér. Bezpečnostní experti vysvetľujú, že malvér napáda najčastejšie tieto modely Android TV boxov:
- R4
- TV BOX
- KJ-SMAR4KVIP
Vo všetkých prípadoch ale infekcia prebieha rovnako. Malvér napáda súbor install-recovery.sh, ktorý sa nachádza takmer vo všetkých Android zariadeniach. Spúšťa sa, keď sa operačný systém naštartuje a obsahuje dáta pre automatické spustenie prvkov, ktoré sú v ňom špecifikované. Ak má akýkoľvek malvér prístup k rootu a dokáže zapisovať dáta do system priečinku, potom sa dokáže ukotviť ku infikovanému zariadeniu tým, že sa pridá do tohto skriptu. Ak sa install-recovery.sh nenachádza v systéme, malvér Vo1d ho vie jednoducho vytvoriť.
Následne sa malvér Vo1d registruje do súboru daemonsu. Ide o súbor, ktorý sa taktiež nachádza v mnohých Android zariadeniach s root prístupom. Tento súbor zodpovedá za to, aby užívateľovi poskytol root privilégiá. Malvér sa môže pripevniť k infikovanému Android TV boxu aj cez program debuggerd.
“Naša analýza ukázala, že autori malvéru Vo1d používajú najmenej tri odlišné metódy na to, aby sa malvér pripevnil k zariadeniu. Je možné, že útočníci predpokladali, že najmenej jeden z napadnutých súborov sa bude nachádzať na cielenom systéme. Stačí manipulovať len jeden súbor a hackeri môžu zariadiť, aby sa ich malvér automaticky spúšťal aj pri opätovných spusteniach televízie,” vysvetľujú bezpečnostní experti.
Hlavná funkcionalita malvéru sa ukrýva v jeho dvoch komponentoch, ktoré pracujú v tandeme. Prvým je komponent vo1d, ktorý zodpovedá za spustenie komponentu wd a ovláda jeho aktivitu. Ak je potrebné, potom reštartuje tento proces. Zároveň dokáže vo1d sťahovať do infikovaného zariadenia aj ďalší škodlivý kód, ak mu to nakáže C2 server útočníka.
Neprehliadnite
Potom modul wd inštaluje a spúšťa modul Android.Vo1d.5. Tento modul dokáže taktiež sťahovať a spúšťať spustiteľné súbory. Mimo to vie monitorovať špecifické priečinky a inštalovať APK súbory, ktoré v týchto priečinkoch nájde.
“Prieskum vykonaný malvér analytikmi ukázal, že backdoor malvér Vo1d infikoval už dokopy 1,3 miliónov zariadení, pričom vyčíňa už v takmer 200 krajinách sveta,” tvrdia experti.
Prečo hlavne TV Boxy?
Analytici predpokladajú, že si útočníci zvolili Android TV Boxy pre to, lebo tieto zariadenia majú najväčšiu pravdepodobnosť, že budú fungovať na zastaranej verzii Androidu, ktorá má neopravené bezpečnostné medzery a už nedostáva ďalšie bezpečnostné aktualizácie.
V niektorých prípadoch vedci zistili, že napadnuté zariadenia fungovali na Android 7,1, iné zas na Android 10 alebo Android 12. Bezpečnostní analytici poznamenávajú, že na trhu TV Boxov nie je nič výnimočné, ak predajca predáva staršie verzie OS a vydáva ich za aktuálnejšie, aby získal väčší záujem od zákazníkov.
Zároveň aj veľa užívateľov vníma TV Boxy ako lepšie chránené zariadenia, v porovnaní so smartfónmi. Preto častokrát ani len neuvažujú o inštalovaní antivírového softvéru. Ďalším problémom je, že v prípade smart TV užívatelia nevnímajú riziko škodlivého softvéru tak vážne. Preto môžu skôr siahnuť po neoficiálnych aplikáciách a aj touto cestou do televízie dostať malvér.
Bezpečnostní experti momentálne nevedia povedať, ako sa Vo1d šíri. Jedným z možných vektorov je útok cez prostredný malvér, ktorý zneužije slabiny systému a získa root privilégiá. Druhým spôsobom útoku môže byť použitie neoficiálnych verzii firmwaru, ktoré už majú v sebe vstavaný root prístup.
Komentáre