Un nouveau malware a été découvert, infectant 1,3 million de boîtiers Android TV.

Dans un récent rapport de recherche, Dr.Web a fait une découverte alarmante concernant l'infection généralisée du malware Vo1d. Plus précisément, les experts en sécurité de Dr.Web ont identifié plus de 1,3 million de décodeurs TV dans le monde infectés par ce dangereux malware.

Notamment, Vo1d a infiltré des appareils dans plus de 200 pays et territoires différents, avec des points d'accès concentrés principalement au Brésil, au Maroc, au Pakistan, en Arabie saoudite, en Russie, en Argentine, en Équateur, en Tunisie, en Malaisie, en Algérie et en Indonésie.

Les chercheurs ont déclaré que Vo1d est capable d'infiltrer les systèmes et d'effectuer de multiples activités malveillantes, causant de graves dommages aux utilisateurs, permettant aux attaquants de prendre le contrôle total des appareils.

Les versions du système d'exploitation Android ciblées par cette campagne de malware ciblent principalement les boîtiers Android TV. Les chercheurs ont notamment identifié des versions vulnérables, notamment Android 7.1.2 : Build R4/NHG47K ; Android 12.1 : Build TV BOX/NHG47K ; et Android 10.1 : Build KJ-SMART4KVIP/NHG47K.

Ces versions Android, en particulier les builds en question, contenaient des vulnérabilités de sécurité que les pirates ont exploitées pour infiltrer et installer le malware Vo1d.

L'attaque cible les fichiers système Android centraux, notamment install-recovery.sh, daemonsu et debuggerd. Selon la variante du malware Vo1d, ces fichiers sont modifiés ou entièrement remplacés pour faciliter l'exécution du code malveillant.

La campagne exploite les scripts de démarrage du système pour garantir que le malware Vo1d reste actif même après le redémarrage de l'appareil. Les principaux composants de Vo1d, judicieusement nommés « wd » et « vo1d », jouent un rôle crucial dans la persistance du malware et l'exécution de ses activités malveillantes.

Selon les experts de Dr.Web, une fois infiltré dans l'Android TV Box, le malware Vo1d opère selon une répartition claire des tâches : Android.Vo1d.1 prend en charge le démarrage initial et l'activation des opérations, tandis qu'Android.Vo1d.3 prend le contrôle et maintient le malware dans le système. Cela permet aux pirates de contrôler l'appareil à distance à volonté, le transformant en outil malveillant.

Bien que la méthode d'attaque exacte n'ait pas été déterminée, les experts de Dr.Web estiment que les appareils de streaming Android sont souvent ciblés car ils exécutent souvent des versions logicielles obsolètes qui contiennent de nombreuses vulnérabilités de sécurité facilement exploitables.

Selon Dr.Web, les appareils Android TV Box peuvent être compromis par des logiciels malveillants de deux manières principales : l'exploitation de failles de sécurité pour accéder à l'appareil, ou l'installation de versions logicielles non officielles auxquelles l'accès a été accordé. Cela représente un risque sérieux pour la sécurité des utilisateurs et nécessite des précautions appropriées.

Pour prévenir l'infection par Vo1d, Dr.Web recommande aux utilisateurs Android de maintenir leurs logiciels à jour et de déconnecter leurs appareils d'Internet lorsqu'ils ne sont pas utilisés. La mise à jour des logiciels permettra de corriger les failles de sécurité, tandis que la déconnexion limitera les risques d'attaques à distance.

De plus, les utilisateurs ne doivent absolument pas télécharger ni installer de fichiers APK (Android Package Kit) provenant de sources non fiables, telles que des sites web tiers. Les fichiers APK sont le format de fichier utilisé pour distribuer et installer des applications sur le système d'exploitation Android. En termes simples, un fichier APK est un « package » contenant toutes les informations et le code nécessaires à l'exécution d'une application sur un appareil Android.

Google a déclaré à BleepingComputer que les appareils attaqués n'utilisaient pas le système d'exploitation Android TV standard, mais reposaient sur l'Android Open Source Project (AOSP). AOSP est une version pure d'Android, sans services ni applications Google intégrés. L'utilisation d'AOSP permet aux fabricants de personnaliser en profondeur le système d'exploitation, mais elle ouvre également la voie à davantage de failles de sécurité.

Google a confirmé que les appareils infectés n'étaient pas des appareils Android TV certifiés Play Protect. Les appareils certifiés Play Protect sont soumis à des tests de sécurité et de compatibilité rigoureux pour garantir une expérience utilisateur sécurisée.

Un boîtier TV est un appareil compact, généralement en forme de boîtier, connecté au téléviseur via un port HDMI. Il permet de transformer un téléviseur classique en Smart TV. Considéré comme une invention technologique particulièrement utile, le boîtier TV permet de rendre tous les téléviseurs, neufs ou anciens, plus intelligents et plus pratiques. Plutôt que de dépenser une fortune pour une Smart TV, beaucoup préfèrent investir quelques millions de VND dans un boîtier TV.