Троян Android.Vo1d заразил более миллиона ТВ-приставок по всему миру

2024-09-12 3972 комментарии
Троян Android.Vo1d («Пустота») поразил более 1,3 миллиона ТВ-приставок на Android в 197 странах. Вредоносная программа получает root-доступ, модифицирует системные файлы и устанавливает стороннее ПО. Основные цели — устаревшие устройства с уязвимостями

Специалисты «Доктор Веб» выявили новый случай инфицирования ТВ-приставок на базе Android. Вредоносная программа, названная Android.Vo1d, поразила почти 1 300 000 устройств в 197 странах мира. Этот бэкдор помещает свои компоненты в системную область и по команде злоумышленников может скрытно загружать и устанавливать стороннее ПО.

Название трояна Android.Vo1d отсылает к английскому слову "void", что означает "пустота" или "вакуум". Это символизирует что-то скрытое, невидимое или разрушительное. Вредоносная программа, подобно пустоте, действует незаметно, удаляя или изменяя важные компоненты системы, оставляя следы повреждений или уязвимостей.

Описание вредоносной программы

В августе 2024 года в компанию «Доктор Веб» поступили обращения от пользователей, чьи устройства антивирус обнаружил изменения в системной файловой области. Примером могут служить следующие модели ТВ-приставок:

Модель ТВ-приставки Заявленная версия прошивки
R4 Android 7.1.2; R4 Build/NHG47K
TV BOX Android 12.1; TV BOX Build/NHG47K
KJ-SMART4KVIP Android 10.1; KJ-SMART4KVIP Build/NHG47K

Во всех случаях обнаружены схожие признаки заражения, включая изменения в системных файлах и появление новых объектов в файловой системе. Среди них:

/system/xbin/vo1d

/system/xbin/wd

/system/bin/debuggerd

/system/bin/debuggerd_real

Файлы vo1d и wd — это компоненты трояна Android.Vo1d. Вредоносная программа названа в честь файла «vo1d», который является видоизменённой версией системного файла «vold».

Механизм действия

Троян изменяет скрипт install-recovery.sh, отвечающий за автозапуск, и файл daemonsu, предоставляющий root-привилегии. Кроме того, он заменяет системный файл debuggerd, запускающий отчёты об ошибках, на вредоносный скрипт, активирующий компонент wd.

Модифицированный файл install-recovery.sh

Основные функции трояна скрыты в модулях vo1d и wd. Модуль vo1d контролирует работу wd и может скачивать исполняемые файлы по команде управляющего сервера. Модуль wd устанавливает и запускает зашифрованный демон, способный загружать и запускать исполняемые файлы, а также отслеживать появление APK-файлов в системных каталогах.

Масштаб заражения и цели злоумышленников

Исследование показало, что троян поразил около 1 300 000 устройств. Наибольшее число заражений зарегистрировано в таких странах, как Бразилия, Марокко, Пакистан, Саудовская Аравия, Россия, Аргентина, Тунис, Индонезия.

Злоумышленники выбрали ТВ-приставки, поскольку многие из них работают на устаревших версиях Android, что делает их уязвимыми. Например, некоторые модели, заявленные с версией Android 12, на самом деле работают на Android 7.1. Устаревшие устройства часто не получают обновления безопасности, что увеличивает риск заражения.

Векторы заражения

Пока источник распространения Android.Vo1d остаётся неизвестным. Возможные сценарии заражения включают использование промежуточных вредоносных программ, которые эксплуатируют уязвимости Android для получения root-доступа, или установка неофициальных прошивок.

Антивирусное ПО Dr.Web успешно детектирует и лечит заражённые устройства с трояном Android.Vo1d, если есть root-доступ.

Рекомендации для пользователей

Для защиты устройств специалисты «Доктор Веб» рекомендуют:

  • Использовать официальные версии прошивок;
  • Устанавливать антивирусное ПО;
  • Следить за обновлениями системы безопасности.

Пользователям ТВ-приставок на базе Android стоит быть особенно внимательными к безопасности своих устройств, так как их уязвимость часто недооценивается по сравнению со смартфонами.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте