DoctorWeb advierte que una nueva familia de malware para Android ha infectado alrededor de 1,3 millones de televisores con versiones anteriores del sistema operativo móvil.
El malware, llamado Vo1d, es una puerta trasera que puede adquirir e instalar software adicional basándose en comandos recibidos de un servidor de comando y control (C&C).
La amenaza descubierta por Doctor Web coloca componentes en el área de almacenamiento del sistema disfrazados de componentes legítimos del sistema operativo y utiliza al menos tres métodos para conectarse al sistema y ejecutarse automáticamente cuando se reinicia el dispositivo.
Se observó que Vo1d utiliza su capacidad de escribir en directorios del sistema para conectarse a scripts de Android que se ejecutan al iniciar el sistema operativo y ejecutan automáticamente componentes específicos.
Además, el malware se registra con un componente de inicio automático en el archivo responsable de proporcionar privilegios de root y reemplaza el demonio normalmente utilizado para informar sobre errores del sistema con un script que inicia el componente malicioso.
Según Doctor Web, solo uno de los dispositivos analizados contenía un script malicioso, pero probablemente fue infectado dos veces, y la segunda infección eliminó por completo los archivos legítimos del demonio y actualizó los registros de errores. Se cree que esto se debe a la destrucción de la funcionalidad.
La funcionalidad principal de la puerta trasera está controlada por dos componentes separados, uno de los cuales inicia y monitorea la actividad del otro, lo reinicia si es necesario y realiza operaciones adicionales si así lo indica el C&C. Puede descargar y ejecutar la carga útil. .
El segundo módulo instala y ejecuta un demonio que puede recuperar y ejecutar cargas útiles, monitorea directorios específicos e instala cualquier APK encontrado.
anuncio publicitario. Desplázate para seguir leyendo.
Según Doctor Web, Vo1d ha infectado aproximadamente 1,3 millones de dispositivos en 197 países, siendo Brasil el más afectado. También se ha confirmado un gran número de infecciones en Argelia, Argentina, Ecuador, Indonesia, Malasia, Marruecos, Pakistán, Rusia, Arabia Saudita y Túnez.
Las empresas de ciberseguridad dicen que Vo1d puede estar apuntando a dispositivos basados en Android porque usan versiones anteriores de Android que contienen vulnerabilidades sin parches, como Android 7.1, 10 y 12. Señala que es alto.
Se siguen utilizando dispositivos vulnerables como este, ya sea porque los fabricantes optan por no utilizar iteraciones de plataforma más nuevas o porque los usuarios piensan que las TV Box son menos vulnerables que otros dispositivos Android e instalan software de seguridad o porque no lo han hecho.
“La fuente de la infección de puerta trasera de la caja de TV sigue siendo desconocida. Un posible vector de infección es un ataque de malware intermediario que explota las vulnerabilidades del sistema operativo para obtener privilegios de root. Otra posibilidad es Esto incluye el uso de versiones de firmware no oficiales con en el acceso root”, señala Doctor Web.
“Estos dispositivos sin marca que se encontraron infectados no eran dispositivos Android certificados por Play Protect. Si un dispositivo no está certificado por Play Protect, Google no tiene registro de los resultados de las pruebas de seguridad y compatibilidad. Los dispositivos Android certificados por Play Protect se someten a pruebas exhaustivas para Garantice la calidad y la seguridad del usuario para que pueda ver si su dispositivo está construido con el sistema operativo Android TV y tiene la certificación Play Protect. Nuestro sitio web de Android TV proporciona una lista actualizada de socios. También puede verificar si su dispositivo es Play Protect. certificado siguiendo estos pasos: dijo un portavoz a SecurityWeek.
*Actualizado para reflejar la declaración de Google.
Relacionado: BingoMod Android RAT borra los dispositivos después de robar dinero
Relacionado: Muchas aplicaciones de Android no parchean las bibliotecas de Google, lo que deja a los usuarios vulnerables a ataques
Relacionado: El software espía avanzado de Android se ocultó durante dos años
Relacionado: El malware de Android apunta a los prejuicios norcoreanos
https://www.securityweek.com/1-3-million-android-tv-boxes-infected-by-vo1d-malware/
