Phát hiện mã độc mới lây nhiễm 1,3 triệu TV box chạy Android

Trong một báo cáo nghiên cứu mới đây, Dr.Web đã đưa ra một phát hiện đáng báo động về sự lây nhiễm rộng rãi của phần mềm độc hại Vo1d. Cụ thể, các chuyên gia bảo mật của Dr.Web đã xác định được hơn 1,3 triệu thiết bị TV box trên toàn cầu đã bị nhiễm loại mã độc nguy hiểm này.

Điều đáng chú ý là Vo1d đã xâm nhập vào các thiết bị ở hơn 200 quốc gia và vùng lãnh thổ khác nhau, với các điểm nóng tập trung chủ yếu tại Brazil, Morocco, Pakistan, Ả Rập Xê Út, Nga, Argentina, Ecuador, Tunisia, Malaysia, Algeria và Indonesia.

Các nhà nghiên cứu cho biết, Vo1d có khả năng xâm nhập vào hệ thống và thực hiện nhiều hoạt động độc hại, gây ra thiệt hại nghiêm trọng cho người dùng, cho phép kẻ tấn công kiểm soát hoàn toàn các thiết bị.

Các phiên bản hệ điều hành Android bị nhắm mục tiêu trong chiến dịch tấn công phần mềm độc hại này chủ yếu tập trung vào các thiết bị Android TV box. Cụ thể, các nhà nghiên cứu đã xác định được các phiên bản dễ bị tổn, bao gồm Android 7.1.2: Bản dựng R4/NHG47K; Android 12.1: Bản dựng TV BOX/NHG47K và Android 10.1: Bản dựng KJ-SMART4KVIP/NHG47K.

Những phiên bản Android này, đặc biệt là các bản dựng được đề cập, chứa các lỗ hổng bảo mật mà tin tặc đã lợi dụng để xâm nhập và cài đặt phần mềm độc hại Vo1d.

Chiến dịch tấn công này nhắm vào các tập tin hệ thống cốt lõi của Android, bao gồm install-recovery.sh, daemonsu và debuggerd. Tùy thuộc vào biến thể của phần mềm độc hại Vo1d, các tập tin này sẽ bị sửa đổi hoặc thay thế hoàn toàn để tạo điều kiện cho mã độc hoạt động.

Chiến dịch tấn công này khai thác các tập lệnh khởi động của hệ thống để đảm bảo phần mềm độc hại Vo1d luôn hoạt động ngay cả khi thiết bị khởi động lại. Các thành phần chính của Vo1d, được đặt tên một cách tinh vi là 'wd' và 'vo1d', đóng vai trò quan trọng trong việc duy trì sự tồn tại và thực hiện các hoạt động độc hại của mã độc này.

Theo các chuyên gia Dr.Web, một khi xâm nhập vào Android TV Box, mã độc Vo1d sẽ hoạt động theo cơ chế phân công nhiệm vụ rõ ràng: Android.Vo1d.1 đảm nhận việc khởi động và kích hoạt các hoạt động ban đầu, trong khi Android.Vo1d.3 sẽ tiếp quản việc điều khiển và duy trì sự tồn tại của mã độc trong hệ thống. Điều này cho phép hacker có thể điều khiển thiết bị từ xa một cách tùy ý, biến thiết bị thành công cụ để thực hiện các hoạt động độc hại.

Mặc dù chưa xác định được chính xác phương thức tấn công, các chuyên gia Dr.Web nhận định rằng các thiết bị phát trực tuyến Android thường trở thành mục tiêu vì chúng thường chạy các phiên bản phần mềm lỗi thời, chứa nhiều lỗ hổng bảo mật, dễ bị khai thác.

Theo Dr.Web, các thiết bị Android TV Box có thể bị xâm nhập bởi phần mềm độc hại thông qua hai con đường chính, một là khai thác các lỗ hổng bảo mật để chiếm quyền truy cập thiết bị, hai là cài đặt các phiên bản phần mềm không chính thức đã được cấp quyền truy cập sẵn. Điều này cho thấy nguy cơ bảo mật nghiêm trọng đối với người dùng và cần có các biện pháp phòng ngừa thích hợp.

Để ngăn chặn lây nhiễm Vo1d, Dr.Web khuyến cáo người dùng Android nên thường xuyên cập nhật phần mềm và ngắt kết nối thiết bị với internet khi không sử dụng. Việc cập nhật phần mềm sẽ giúp vá các lỗ hổng bảo mật, trong khi ngắt kết nối sẽ hạn chế khả năng bị tấn công từ xa.

Bên cạnh đó, người dùng tuyệt đối không nên tải và cài đặt các tệp APK (Android Package Kit) từ các nguồn không đáng tin cậy như các trang web bên thứ ba. Tệp APK là định dạng tệp được sử dụng để phân phối và cài đặt các ứng dụng trên hệ điều hành Android. Nói một cách đơn giản, tệp APK chính là "gói" chứa đựng toàn bộ thông tin và mã lệnh cần thiết để một ứng dụng có thể hoạt động trên thiết bị Android.

Trao đổi với tờ BleepingComputer, Google cho biết, các thiết bị bị tấn công không phải là các thiết bị chạy hệ điều hành Android TV thông thường mà lại dựa trên Dự án nguồn mở Android (AOSP). AOSP là một phiên bản Android nguyên bản, không có các dịch vụ và ứng dụng Google được tích hợp sẵn. Việc sử dụng AOSP cho phép các nhà sản xuất tùy chỉnh hệ điều hành một cách sâu sắc, nhưng đồng thời cũng mở ra nhiều lỗ hổng bảo mật hơn.

Google khẳng định rằng những thiết bị bị nhiễm virus không phải là thiết bị Android TV được chứng nhận Play Protect. Các thiết bị đạt chuẩn Play Protect đã trải qua quá trình kiểm tra nghiêm ngặt về bảo mật và tương thích, đảm bảo trải nghiệm an toàn cho người dùng.

TV box là một thiết bị nhỏ gọn, thường có hình hộp, được kết nối với tivi thông qua cổng HDMI. Thiết bị này giúp biến chiếc tivi thông thường thành một chiếc Smart TV. TV box được xem là một trong những phát minh công nghệ hữu ích khi có thể biến tất cả TV, dù mới hay cũ, trở nên thông minh và tiện dụng hơn. Thay vì phải bỏ ra một số tiền lớn để mua sắm Smart TV, nhiều người chọn chi vài triệu đồng để đầu tư cho TV box.