Специалисты «Доктор Веб» выявили новый случай инфицирования ТВ-приставок на базе Android. Вредоносная программа, названная Android.Vo1d, поразила почти 1 300 000 устройств в 197 странах мира. Этот бэкдор помещает свои компоненты в системную область и по команде злоумышленников может скрытно загружать и устанавливать стороннее ПО.
Название трояна Android.Vo1d отсылает к английскому слову "void", что означает "пустота" или "вакуум". Это символизирует что-то скрытое, невидимое или разрушительное. Вредоносная программа, подобно пустоте, действует незаметно, удаляя или изменяя важные компоненты системы, оставляя следы повреждений или уязвимостей.
Описание вредоносной программы
В августе 2024 года в компанию «Доктор Веб» поступили обращения от пользователей, чьи устройства антивирус обнаружил изменения в системной файловой области. Примером могут служить следующие модели ТВ-приставок:
| Модель ТВ-приставки | Заявленная версия прошивки |
|---|---|
| R4 | Android 7.1.2; R4 Build/NHG47K |
| TV BOX | Android 12.1; TV BOX Build/NHG47K |
| KJ-SMART4KVIP | Android 10.1; KJ-SMART4KVIP Build/NHG47K |
Во всех случаях обнаружены схожие признаки заражения, включая изменения в системных файлах и появление новых объектов в файловой системе. Среди них:
/system/xbin/vo1d /system/xbin/wd /system/bin/debuggerd /system/bin/debuggerd_real
Файлы vo1d и wd — это компоненты трояна Android.Vo1d. Вредоносная программа названа в честь файла «vo1d», который является видоизменённой версией системного файла «vold».
Механизм действия
Троян изменяет скрипт install-recovery.sh, отвечающий за автозапуск, и файл daemonsu, предоставляющий root-привилегии. Кроме того, он заменяет системный файл debuggerd, запускающий отчёты об ошибках, на вредоносный скрипт, активирующий компонент wd.
Модифицированный файл install-recovery.sh
Основные функции трояна скрыты в модулях vo1d и wd. Модуль vo1d контролирует работу wd и может скачивать исполняемые файлы по команде управляющего сервера. Модуль wd устанавливает и запускает зашифрованный демон, способный загружать и запускать исполняемые файлы, а также отслеживать появление APK-файлов в системных каталогах.
Масштаб заражения и цели злоумышленников
Исследование показало, что троян поразил около 1 300 000 устройств. Наибольшее число заражений зарегистрировано в таких странах, как Бразилия, Марокко, Пакистан, Саудовская Аравия, Россия, Аргентина, Тунис, Индонезия.
Злоумышленники выбрали ТВ-приставки, поскольку многие из них работают на устаревших версиях Android, что делает их уязвимыми. Например, некоторые модели, заявленные с версией Android 12, на самом деле работают на Android 7.1. Устаревшие устройства часто не получают обновления безопасности, что увеличивает риск заражения.
Векторы заражения
Пока источник распространения Android.Vo1d остаётся неизвестным. Возможные сценарии заражения включают использование промежуточных вредоносных программ, которые эксплуатируют уязвимости Android для получения root-доступа, или установка неофициальных прошивок.
Антивирусное ПО Dr.Web успешно детектирует и лечит заражённые устройства с трояном Android.Vo1d, если есть root-доступ.
Рекомендации для пользователей
Для защиты устройств специалисты «Доктор Веб» рекомендуют:
- Использовать официальные версии прошивок;
- Устанавливать антивирусное ПО;
- Следить за обновлениями системы безопасности.
Пользователям ТВ-приставок на базе Android стоит быть особенно внимательными к безопасности своих устройств, так как их уязвимость часто недооценивается по сравнению со смартфонами.
Угрозы безопасности
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО
• D-Link не будет исправлять уязвимость, которая затрагивает 60 тысяч устаревших модемов
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах