Atores de ameaças infectaram mais de 1,3 milhão de aparelhos de streaming de TV rodando Android com um novo malware backdoor chamado Vo1d, permitindo que os atacantes assumam o controle total dos dispositivos.
O Android Open Source Project (AOSP) é um sistema operacional de código aberto liderado pelo Google, que pode ser usado em dispositivos móveis, de streaming e IoT.
Em um novo relatório da Dr.Web, pesquisadores encontraram 1,3 milhão de dispositivos infectados com o malware Vo1d em mais de 200 países, com o maior número detectado no Brasil, Marrocos, Paquistão, Arábia Saudita, Rússia, Argentina, Equador, Tunísia, Malásia, Argélia e Indonésia.
O firmware do Android que está sendo visado nesta campanha de malware inclui:
Android 7.1.2; R4 Build/NHG47K
Android 12.1; TV BOX Build/NHG47K
Android 10.1; KJ-SMART4KVIP Build/NHG47K
Dependendo da versão do malware Vo1d instalado, a campanha modificará os arquivos do sistema operacional install-recovery.sh, daemonsu ou substituirá o debuggerd, todos scripts de inicialização comumente encontrados no Android.
A campanha de malware usa esses scripts para persistência e para lançar o malware Vo1d na inicialização.
O próprio malware Vo1d está localizado nos arquivos wd e vo1d, que dão nome ao malware.
"O Vo1d main functionality is concealed in its vo1d (Android.Vo1d.1) and wd (Android.Vo1d.3) components, which operate in tandem", explica a Dr.Web.
O módulo Android.Vo1d.1 é responsável pelo lançamento do Android.
Vo1d.3 e controla sua atividade, reiniciando seu processo, se necessário.
Além disso, pode baixar e executar executáveis quando comandado pelo servidor C&C.
Por sua vez, o módulo Android.Vo1d.3 instala e lança o daemon Android.Vo1d.5 criptografado e armazenado em seu corpo.
Este módulo também pode baixar e executar executáveis.
Além disso, monitora diretórios especificados e instala os arquivos APK que encontra neles.
Embora a Dr.Web não saiba como os dispositivos de streaming Android estão sendo comprometidos, os pesquisadores acreditam que são visados porque comumente executam software desatualizado com vulnerabilidades.
"Uma possível vetor de infecção poderia ser um ataque por um malware intermediário que explora vulnerabilidades do sistema operacional para obter privilégios de root", conclui a Dr.Web.
Outro vetor possível poderia ser o uso de versões de firmware não oficiais com acesso root embutido.
Para prevenir a infecção por esse malware, aconselha-se que os usuários de Android verifiquem e instalem novas atualizações de firmware assim que estiverem disponíveis.
Também é importante desligar esses aparelhos da internet caso estejam sendo explorados remotamente através de serviços expostos.
Por fim, evite instalar aplicativos Android como APKs de sites terceiros no Android, pois eles são uma fonte comum de malware.
Uma lista de IOCs para a campanha de malware Vo1d pode ser encontrada na página do GitHub da Dr.Web.
Esses dispositivos de marcas alternativas descobertos como infectados não eram dispositivos Android certificados pelo Play Protect.
Se um dispositivo não é certificado pelo Play Protect, o Google não tem um registro dos resultados dos testes de segurança e compatibilidade.
Dispositivos Android certificados pelo Play Protect passam por testes extensivos para garantir qualidade e segurança ao usuário.
Para ajudá-lo a confirmar se um dispositivo é construído com o sistema operacional Android TV e é certificado pelo Play Protect, nosso site do Android TV fornece a lista mais atualizada de parceiros.
"Você também pode seguir estes passos para verificar se seu dispositivo é certificado pelo Play Protect," disse um porta-voz do Google.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...