Se instaló una puerta trasera en 1,3 millones de cajas de TV basadas en Android. Los investigadores aún no han descubierto cómo funciona.


Imágenes falsas

Los investigadores aún no conocen la causa de una infección de malware descubierta recientemente que afecta a alrededor de 1,3 millones de dispositivos de streaming que ejecutan versiones de código abierto de Android en unos 200 países.

La firma de seguridad Dr. Web dijo el jueves que un malware llamado Android.Vo1d colocó una puerta trasera en cajas basadas en Android y colocó componentes maliciosos en el área de almacenamiento del sistema, listos para ser actualizados con malware adicional en cualquier momento mediante un sistema de comando y control. servidor. Se informó que Un representante de Google dijo que los dispositivos infectados ejecutan un sistema operativo basado en el proyecto de código abierto Android. Esta es la versión controlada por Google, pero se diferencia de Android TV, que es una versión propia limitada a fabricantes de dispositivos con licencia.

Docenas de variaciones

Aunque Doctor Web conoce bien Vo1d y su extraordinario impacto, los investigadores de la empresa afirman que aún no han identificado el vector de ataque que provocó la infección.

“En este momento, se desconoce la fuente de la infección de puerta trasera de la caja de TV”, decía la publicación del jueves. “Un posible vector de infección es un ataque de malware intermediario que explota las vulnerabilidades del sistema operativo para obtener privilegios de root. Otro posible vector es un ataque de malware no oficial que utiliza una versión de firmware incorporada.

Los modelos de dispositivos infectados con Vo1d son:

Modelo de TV BOX Versión de firmware declarada R4 Android 7.1.2; compilación R4/NHG47K TV BOX compilación de Android 12.1/NHG47K KJ-SMART4KVIP Android 10.1;

Una posible causa de infección es que el dispositivo esté ejecutando una versión anterior, que es vulnerable a exploits que ejecutan código malicioso de forma remota. Por ejemplo, las versiones 7.1, 10.1 y 12.1 se lanzaron en 2016, 2019 y 2022, respectivamente. Además, según Doctor Web, no es raro que los fabricantes de dispositivos económicos instalen versiones antiguas del sistema operativo en las cajas de streaming y las comercialicen como modelos más nuevos para que parezcan más atractivas.

Además, mientras que AndroidTV de Google sólo puede ser modificado por fabricantes de dispositivos con licencia, cualquier fabricante de dispositivos puede modificar libremente la versión de código abierto. Esto deja la posibilidad de que el dispositivo haya sido infectado en la cadena de suministro y ya esté comprometido en el momento en que el usuario final lo compre.

“Estos dispositivos sin marca infectados no eran dispositivos Android certificados por Play Protect”, dijo Google en un comunicado. “Si un dispositivo no está certificado por Play Protect, Google no tiene registro de los resultados de las pruebas de seguridad y compatibilidad. Los dispositivos Android certificados por Play Protect se someten a pruebas exhaustivas para garantizar la calidad y la seguridad del usuario. Lo estoy recibiendo”.

Según la declaración, puede verificar que su dispositivo esté ejecutando el sistema operativo Android TV consultando este enlace y siguiendo los pasos que se proporcionan aquí.

Según Doctor Web, existen docenas de variantes de Vo1d, cada una de las cuales utiliza un código diferente e incorpora malware en áreas de almacenamiento ligeramente diferentes, pero todas se conectan a servidores controlados por el atacante y despliegan funciones adicionales. Dice que logra el mismo resultado final al instalar una versión final Componente que puede instalar malware. Según VirusTotal, la mayoría de las variantes de Vo1d se cargaron por primera vez en sitios de identificación de malware hace varios meses.

Los investigadores escriben:

Todos estos casos tenían signos de infección similares, así que usaré como ejemplo una de las primeras solicitudes que recibí. Se cambiaron los siguientes objetos en la caja de TV afectada:

install-recovery.sh demonio su

Además, se han agregado cuatro archivos nuevos al sistema de archivos.

/system/xbin/vo1d /system/xbin/wd /system/bin/debuggerd /system/bin/debuggerd_real

Los archivos vo1d y wd son componentes del troyano Android.Vo1d que descubrimos.

El autor del troyano parece haber intentado disfrazar uno de sus componentes como el programa del sistema /system/bin/vold. El programa recibió un nombre similar “vo1d” (con la “l” minúscula reemplazada por el número “1”). El nombre de este programa malicioso se deriva del nombre de este archivo. Además, esta ortografía coincide con la consonante de la palabra inglesa “void”.

El archivo install-recovery.sh es un script presente en la mayoría de los dispositivos Android. Este archivo se ejecuta cuando se inicia el sistema operativo y contiene datos para ejecutar automáticamente elementos específicos. Si el malware tiene acceso de root y puede escribir en el directorio del sistema /system, puede insertarse en el dispositivo infectado agregándose a este script (o creándolo desde cero si no existe en el sistema). fijado. Android.Vo1d registra el inicio automático del componente wd en este archivo.

Archivo install-recovery.sh modificado

web medica

Los archivos daemonsu están presentes en muchos dispositivos Android con acceso de root. Se inicia cuando se inicia el sistema operativo y es responsable de proporcionar privilegios de root al usuario. Android.Vo1d también se registra en este archivo y también se configura el inicio automático del módulo wd.

El archivo depurado es un demonio que normalmente se utiliza para crear informes sobre los errores que ocurren. Sin embargo, una vez que la caja de TV quedó infectada, este archivo fue reemplazado por un script que iniciaba el componente wd.

El archivo debuggerd_real en el caso que estamos investigando es una copia del script utilizado para reemplazar el archivo depurado real. Los expertos de Doctor Web creen que los autores del troyano pretendían trasladar el debuggerd original a debuggerd_real para mantener la funcionalidad. Sin embargo, como la infección probablemente se produjo dos veces, el troyano movió los archivos (es decir, los scripts) que ya había reemplazado. Como resultado, el dispositivo tenía dos scripts del troyano y ningún archivo de programa depurado.

Al mismo tiempo, otros usuarios que se pusieron en contacto con nosotros tenían listas de archivos ligeramente diferentes en sus dispositivos infectados.

daemonsu (análogo de archivos vo1d – Android.Vo1d.1), wd (Android.Vo1d.3), debuggerd (mismo script que el anterior), debuggerd_real (archivo original de la herramienta de depuración), install-recovery.sh (especificado (script que carga el objeto que fue creado).

Después de analizar todos los archivos mencionados anteriormente, descubrimos que los autores utilizaron al menos tres métodos diferentes (modificando los archivos install-recovery.sh y daemonsu, reemplazando el programa depurado) para lograr que Android.Vo1d se adhiriera a su sistema. hay. Los autores probablemente esperaban que al menos uno de los archivos de destino estuviera presente en un sistema infectado. Esto se debe a que incluso manipular uno de esos archivos garantiza que el troyano se iniciará automáticamente en reinicios posteriores del dispositivo.

La funcionalidad principal de Android.Vo1d está oculta en los componentes vo1d (Android.Vo1d.1) y wd (Android.Vo1d.3) que funcionan juntos. El módulo Android.Vo1d.1 es responsable de iniciar Android.Vo1d.3, controlar sus actividades y reiniciar el proceso si es necesario. Además, puede descargar y ejecutar archivos ejecutables si así se lo indica el servidor C&C. Luego, el módulo Android.Vo1d.3 instala e inicia el demonio Android.Vo1d.5, que se almacena cifrado en el dispositivo. Este módulo también se puede ejecutar descargando el archivo ejecutable. Además, monitorea el directorio especificado e instala los archivos APK que se encuentran allí.

La distribución geográfica de las infecciones es amplia, con el mayor número de infecciones confirmadas en Brasil, Marruecos, Pakistán, Arabia Saudita, Rusia, Argentina, Ecuador, Túnez, Malasia, Argelia e Indonesia.

Ampliar / Mapa mundial que enumera el número de personas infectadas en cada país.

web medica

No es particularmente fácil para una persona sin experiencia saber si un dispositivo está infectado a menos que instale un escáner de malware. Doctor Web afirma que su software antivirus para Android detecta todas las variantes de Vo1d y desinfecta los dispositivos que ofrecen acceso root. Los usuarios experimentados pueden comprobar aquí si hay signos de compromiso.


https://arstechnica.com/security/2024/09/researchers-still-dont-know-how-1-3-million-android-streaming-boxes-were-backdoored/