La empresa de investigación DoctorWeb ha descubierto un nuevo malware dirigido a dispositivos de transmisión de TV que se ejecutan en AOSP en Pakistán, Túnez, Argelia y muchos otros países. Se dirige a dispositivos que ejecutan versiones anteriores de firmware vulnerable. Google también afirma que se trata de dispositivos sin marca que no ejecutan el sistema operativo Android TV y no están certificados por Play Protect.
Un nuevo malware de puerta trasera Vo1d ha infectado más de 1,3 millones de cajas de transmisión de TV que se ejecutan en el Proyecto de código abierto de Android (AOSP).
AOSP es un sistema operativo de código abierto creado por Google que se puede utilizar en dispositivos móviles, de streaming y de IoT.
El firmware de Android específico incluye:
Android 7.1.2; compilación R4/NHG47K; compilación de TV BOX/NHG47K; compilación KJ-SMART4KVIP/NHG47K;
Sobre la campaña
La campaña fue descubierta por la empresa de ciberseguridad Doctor Web, con sede en Francia. La compañía confirmó que más de 1,3 millones de dispositivos en 200 países ya han sido infectados con el malware, incluidos Pakistán, Arabia Saudita, Túnez, Malasia, Argelia y más.
Lo peor es que este malware tiene múltiples variantes, todas igualmente peligrosas. Lo que todos tienen en común es que pueden descargar y ejecutar archivos ejecutables cuando se les pide que supervisen un directorio específico.
El malware reside en los archivos wd y void y recibe su nombre.
El proceso básico comienza modificando install-recovery.sh, daemonsu o reemplazando el archivo del sistema operativo depurado (todos los cuales son scripts de inicio que se encuentran comúnmente en dispositivos Android). Luego, el malware utiliza estos scripts para persistir e iniciar el malware Vo1d en el momento del arranque. Algunos de los módulos del malware funcionan juntos. Por ejemplo, el módulo Android.Vo1d.1 es responsable del inicio y la actividad de Android.Vo1d.3. También puedes reiniciar el proceso si es necesario. También puede descargar y ejecutar archivos ejecutables si recibe comandos del servidor C&C. El módulo Android.Vo1d.3 también hace lo mismo con el demonio Android.Vo1d.5, que se almacena cifrado en el dispositivo. Este módulo, al igual que las versiones anteriores, también se puede ejecutar descargando el archivo ejecutable.
¿Qué deberían hacer los usuarios ahora?
Los investigadores de Doctor Web aún no han confirmado cómo fue comprometido el dispositivo, pero existen varias posibilidades.
Primero, ejecutaba una versión obsoleta de firmware que tenía vulnerabilidades. Otro posible ataque es un malware intermediario que explota las vulnerabilidades del sistema operativo para obtener privilegios de root. También puede haber una versión no oficial del firmware que incluya acceso root.
Por lo tanto, en este momento, recomendamos que los usuarios actualicen su firmware (si hay actualizaciones disponibles) y eviten instalar aplicaciones de Android como APK de sitios de terceros en Android.
Además, si notas alguna actividad inusual, debes desconectar tu caja de Internet inmediatamente.
¿Qué dice Google sobre esto?
Google aclaró que estos dispositivos no ejecutaban Android TV. Estos son dispositivos sin marca que no están certificados por Play Protect.
Los dispositivos certificados por Play Protect se prueban varias veces para garantizar que sean seguros de usar. Google tampoco tiene resultados de pruebas de seguridad o compatibilidad para estos dispositivos sin marca y no es responsable de ellos.
Si los usuarios desean verificar si su dispositivo funciona con el sistema operativo Android TV y tiene la certificación Play Protect, visite el sitio web de Android TV de la compañía para obtener la lista más reciente de socios oficiales.
La política editorial de nuestro Informe Técnico de Proceso Editorial se centra en proporcionar contenido útil y preciso que aporte valor real a nuestros lectores. Solo trabajamos con escritores experimentados que tienen experiencia en los temas que cubrimos, incluida la última tecnología, privacidad en línea, criptomonedas y software. Nuestra política editorial garantiza que cada tema sea investigado y editado por nuestros editores internos. Mantenemos estrictos estándares periodísticos y todos los artículos están 100% escritos por autores reales.
https://techreport.com/news/vo1d-malware-1-3-million-tv-streaming-boxes/