Android TV Box es un pequeño dispositivo que se conecta a su televisor para acceder a una variedad de contenidos, aplicaciones y servicios en línea.
Se ejecuta en el sistema operativo Android, similar a los teléfonos inteligentes y tabletas, y proporciona una interfaz fácil de usar para operar y transmitir contenido directamente en su televisor.
Los analistas de ciberseguridad de Dr. Web descubrieron recientemente que más de 1,3 millones de Android TV Box fueron secuestrados por el malware Android.Vo1d en agosto de 2024.
1,3 millones de Android TV Box secuestrados
Android.Vo1d ha infectado aproximadamente 1,3 millones de TV Box con Android en 197 países.
Este troyano de puerta trasera utiliza técnicas sofisticadas para evadir la detección y establecer persistencia. Invade el área de almacenamiento del sistema y modifica archivos importantes como install-recovery.sh y daemonsu.
El malware crea cuatro archivos nuevos en el sistema de archivos de su dispositivo. Te los explicamos a continuación.
/system/xbin/vo1d /system/xbin/wd /system/bin/debuggerd /system/bin/debuggerd_real
Los componentes de Android.Vo1d 'vo1d' y 'wd' están hábilmente disfrazados para imitar procesos legítimos del sistema.
Este troyano aprovecha el acceso de root para modificar el script install-recovery.sh para que se ejecute automáticamente al iniciar el sistema. Esto permite que el malware descargue e instale de forma encubierta software malicioso adicional según las instrucciones del operador.
Cumplimiento de la decodificación: lo que los CISO deben saber: únase a nuestro seminario web gratuito
Todos los modelos afectados se enumeran a continuación: –
R4 (Versión de firmware declarada: Android 7.1.2, compilación R4/NHG47K) TV BOX (Versión de firmware declarada: Android 12.1, compilación de TV BOX/NHG47K) KJ-SMART4KVIP (Versión de firmware declarada: Android 10.1, compilación KJ -SMART4KVIP/NHG47K)
El nombre “Vo1d” en sí mismo es una ofuscación inteligente, que reemplaza la “l” minúscula en “vold”, que es un proceso legítimo del sistema Android. Además, el número “1” se parece visualmente a la palabra inglesa “void”.
Esta compleja estrategia de infección pone de relieve la creciente sofisticación del malware móvil que se dirige a dispositivos inteligentes más allá de los teléfonos inteligentes tradicionales.
Android.Vo1d explota el acceso root en dispositivos Android, apuntando específicamente a versiones anteriores como Android 7.1.
Emplea múltiples métodos de persistencia modificando archivos del sistema y sus componentes incluyen:
Android.Vo1d.1 (archivo vo1d): gestiona actividades y descarga archivos ejecutables desde servidores de comando y control (C&C). Android.Vo1d.3 (módulo wd): instala e inicia el demonio cifrado Android.Vo1d.5, monitorea directorios e instala archivos APK. Android.Vo1d.5: proporciona funcionalidad adicional.
Todos estos componentes utilizan el archivo daemonsu para obtener privilegios de root e interactuar con el demonio depurado reemplazándolo con un script que inicia el componente wd, dijo el Dr. Web.
El malware también modifica el script install-recovery.sh para lograr el inicio automático. La propagación de Android.Vo1d se vio facilitada por versiones obsoletas de Android y conceptos erróneos de los usuarios sobre la seguridad de los TV Box.
Países con mayor número de dispositivos infectados detectados (Fuente – Dr. Web)
La distribución geográfica de este malware incluye Brasil, Marruecos, Pakistán, Arabia Saudita, Rusia, Argentina, Ecuador, Túnez, Malasia, Argelia e Indonesia. Se desconoce la fuente exacta de infección.
Simule escenarios de ciberataques con una plataforma de ciberseguridad todo en uno: vea el seminario web gratuito
