Обнаружено новое вредоносное ПО, заразившее 1,3 миллиона Android TV-приставок

В недавнем исследовательском отчёте Dr.Web было сделано тревожное открытие о широком распространении вредоносного ПО Vo1d. В частности, специалисты Dr.Web по безопасности выявили более 1,3 миллиона телевизионных приставок по всему миру, заражённых этим опасным вредоносным ПО.

Примечательно, что Vo1d проник на устройства в более чем 200 различных странах и территориях, при этом основные точки доступа сосредоточены в Бразилии, Марокко, Пакистане, Саудовской Аравии, России, Аргентине, Эквадоре, Тунисе, Малайзии, Алжире и Индонезии.

Исследователи утверждают, что Vo1d способен проникать в системы и выполнять множество вредоносных действий, нанося серьезный ущерб пользователям и позволяя злоумышленникам получить полный контроль над устройствами.

Версии ОС Android, подвергшиеся атаке этой вредоносной кампании, в основном ориентированы на телевизионные приставки Android TV Box. Исследователи выявили уязвимые версии, включая Android 7.1.2: сборка R4/NHG47K; Android 12.1: сборка TV BOX/NHG47K и Android 10.1: сборка KJ-SMART4KVIP/NHG47K.

Эти версии Android, особенно рассматриваемые сборки, содержат уязвимости безопасности, которыми воспользовались хакеры для проникновения и установки вредоносного ПО Vo1d.

Атака направлена ​​на основные системные файлы Android, включая install-recovery.sh, daemonsu и debuggerd. В зависимости от версии вредоносного ПО Vo1d эти файлы изменяются или полностью заменяются, чтобы облегчить выполнение вредоносного кода.

Атака использует скрипты загрузки системы, чтобы вредоносное ПО Vo1d оставалось активным даже после перезагрузки устройства. Основные компоненты Vo1d, получившие меткие названия «wd» и «vo1d», играют ключевую роль в поддержании активности вредоносного ПО и выполнении его вредоносных действий.

По данным экспертов Dr.Web, после проникновения в Android TV Box вредоносная программа Vo1d будет действовать по чёткому разделению задач: Android.Vo1d.1 возьмёт на себя первоначальный запуск и активацию операций, а Android.Vo1d.3 возьмёт на себя управление и поддержку вредоносной программы в системе. Это позволяет злоумышленникам удалённо управлять устройством по своему усмотрению, превращая его в инструмент для выполнения вредоносных действий.

Хотя точный метод атаки не установлен, эксперты Dr.Web полагают, что Android-устройства для потоковой трансляции часто становятся мишенью для атак, поскольку на них часто используются устаревшие версии программного обеспечения, содержащие множество уязвимостей безопасности, которыми легко воспользоваться.

По данным Dr.Web, вредоносное ПО может проникнуть на устройства Android TV Box двумя основными способами: через использование уязвимостей безопасности для получения доступа к устройству и через установку неофициальных версий ПО, которым предоставлен доступ. Это представляет серьёзную угрозу безопасности пользователей и требует принятия соответствующих мер предосторожности.

Для предотвращения заражения Vo1d компания Dr.Web рекомендует пользователям Android регулярно обновлять программное обеспечение и отключать устройства от интернета, когда они не используются. Обновление ПО поможет устранить уязвимости безопасности, а отключение от интернета ограничит возможность удалённых атак.

Кроме того, пользователям категорически не следует загружать и устанавливать APK-файлы (Android Package Kit) из ненадёжных источников, таких как сторонние веб-сайты. APK-файлы — это формат файлов, используемый для распространения и установки приложений в операционной системе Android. Проще говоря, APK-файл — это «пакет», содержащий всю информацию и код, необходимые для работы приложения на устройстве Android.

Компания Google сообщила BleepingComputer, что устройства, подвергшиеся атаке, работали не под управлением стандартной операционной системы Android TV, а на базе Android Open Source Project (AOSP). AOSP — это «чистая» версия Android без встроенных сервисов и приложений Google. Использование AOSP позволяет производителям глубоко настраивать операционную систему, но в то же время открывает новые уязвимости безопасности.

Google подтвердила, что зараженные устройства не были сертифицированы Play Protect для Android TV. Устройства с сертификатом Play Protect проходят тщательное тестирование безопасности и совместимости, чтобы гарантировать безопасность пользователя.

ТВ-приставка — это компактное устройство, обычно в форме коробки, подключаемое к телевизору через HDMI-порт. Это устройство позволяет превратить обычный телевизор в Smart TV. ТВ-приставка считается одним из полезных технологических изобретений, поскольку она может сделать любой телевизор, как новый, так и старый, более умным и удобным. Вместо того, чтобы тратить огромные деньги на покупку Smart TV, многие предпочитают потратить несколько миллионов донгов на ТВ-приставку.