Usuarios de Android TV Box, tomen nota. Hay nuevo malware por ahí. Sin embargo, no debes preocuparte si tu dispositivo está certificado oficialmente por Play Protect. El malware, llamado Vo1d, apunta directamente a dispositivos de transmisión Android que ejecutan versiones anteriores del software.
1,3 millones de cajas de streaming de Android infectadas con el malware Vo1d
Los expertos en ciberseguridad de Dr.Web han descubierto aproximadamente 1,3 millones de dispositivos de streaming de Android infectados con Vo1d. Estas TV Box están presentes en 197 países de todo el mundo. Los países más afectados son Brasil, Marruecos, Pakistán, Arabia Saudita, Argentina, Rusia, Túnez, Ecuador, Malasia, Argelia e Indonesia. Según un informe del equipo ruso de desarrollo de virus, el malware tiene “la capacidad de descargar e instalar de forma encubierta software de terceros”.
Vo1d aprovecha un agujero de seguridad en versiones anteriores de Android TV para obtener acceso de root. También está presente en algunos dispositivos que tienen el acceso root habilitado de forma predeterminada. El malware se instala en particiones de almacenamiento interno sensibles y se le otorgan ciertos privilegios. El malware primero reemplaza el archivo demonio “/system/bin/debuggerd”. Luego descarga dos archivos infectados y los coloca en '/system/xbin/vo1d' y '/system/xbin/wd'.
Los modelos de TV Box infectados ejecutan Android 7 o anterior
Los desarrolladores de Vo1d (de origen desconocido) se dirigieron directamente a los siguientes dispositivos de transmisión Android: KJ-SMART4KVIP (Android 10.1; build/NHG47K), R4 (Android 7.1.2; build/NHG47K), TV BOX (Android 12.1; build/NHG47K).
Vo1d explota una vulnerabilidad encontrada en versiones de Android anteriores a la 8.0. Curiosamente, la lista de dispositivos infectados también incluye modelos que supuestamente ejecutan versiones más nuevas, como Android 10 y Android 12. Sin embargo, esto se debe a que algunos fabricantes de cajas de TV Android económicas disfrazan la versión subyacente real de Android para que parezca una versión más nueva y la promocionan como tal.
Este malware no funciona en Android 8 y superiores debido a un enfoque diferente de manejo de fallas que hace que los demonios debuggerd y debuggerd64 no estén relacionados. En su lugar, se generan nuevos demonios crash_dump32 y crash_dump64 “según sea necesario”, afirma la documentación de Google. Además, el nombre de este malware no se elige al azar. Las versiones anteriores de Android tienen una ruta “/system/bin/vold”. Vo1d reside en esa ruta y reemplaza “vold” con un archivo con un nombre similar para evitar la detección.
Los dispositivos certificados por Play Protect son seguros
Sin embargo, Google ha confirmado que los dispositivos infectados no tienen la certificación Play Protect. Los desarrolladores habrían confiado en el código AOSP para compilar el sistema operativo. Es posible que los sistemas de seguridad de Google hayan detectado malware durante la revisión. Este es un ejemplo de los riesgos de depender de productos de origen cuestionable para ahorrar dinero. Es importante tener precaución al manipular dispositivos que se conectan a Internet y almacenan datos personales confidenciales. Por lo tanto, es mejor confiar en productos más conocidos que tengan menos probabilidades de aparecer en artículos de noticias sobre ataques de malware.
