Android.Vo1d: хакеры проникают в дома через ТВ-приставки

Специалисты Dr.Web обнаружили новый случай массового заражения ТВ-приставок на базе Android. Вредоносная программа, получившая название Android.Vo1d, поразила около 1,3 миллиона устройств в 197 странах.

Android.Vo1d представляет собой бэкдор, который размещает свои компоненты в системной области памяти устройства. При получении команд от злоумышленников он способен незаметно загружать и устанавливать стороннее программное обеспечение.

В августе 2024 года в Doctor Web обратились пользователи, чьи антивирусы Dr.Web обнаружили изменения в системных файлах их ТВ-приставок. Проблема затронула модели:

• R4 (Android 7.1.2);
• TV BOX (Android 12.1);
• KJ-SMART4KVIP (Android 10.1).

Во всех случаях наблюдались схожие признаки заражения. В системных файлах устройств были изменены или добавлены следующие объекты: модифицированные файлы install-recovery.sh и daemonsu, а также новые файлы /system/xbin/vo1d, /system/xbin/wd, /system/bin/debuggerd и /system/bin/debuggerd_real.

Файлы vo1d и wd являются компонентами троянской программы Android.Vo1d. Злоумышленники попытались замаскировать один из компонентов под системную программу /system/bin/vold, заменив букву «l» на цифру «1» в названии.

Троян вносит изменения в скрипт install-recovery.sh, который запускается при старте операционной системы, чтобы обеспечить автозапуск компонента wd. Также модифицируется файл daemonsu, отвечающий за предоставление root-привилегий, с той же целью. Файл debuggerd, обычно используемый для создания отчётов об ошибках, заменяется скриптом, запускающим компонент wd.

Android.Vo1d использует несколько методов для обеспечения своей активности на зараженных устройствах:

1. Модификация стартового скрипта: изменяет файл install-recovery.sh, который запускается при старте системы, добавляя в него свои компоненты.
2. Эксплуатация прав суперпользователя: модифицирует файл daemonsu, связанный с root-правами, для запуска вредоносного ПО при загрузке.
3. Замена системного демона: заменяет системный демон debuggerd на вредоносный скрипт для запуска своих компонентов.

Такие тактики повышают вероятность того, что хотя бы один из методов успешно запустит вредоносное ПО при перезагрузке устройства.

Основная функциональность Android.Vo1d содержится в компонентах vo1d и wd, которые работают в паре. Модуль vo1d запускает wd и контролирует его активность, перезапуская процесс при необходимости. Оба модуля могут загружать и запускать исполняемые файлы, а также устанавливать обнаруженные APK-файлы.

По данным Doctor Web, наибольшее число заражений зарегистрировано в Бразилии, Марокко, Пакистане, Саудовской Аравии, Аргентине, России, Эквадоре, Тунисе, Малайзии, Алжире и Индонезии.

Источник заражения ТВ-приставок пока неизвестен. Возможно, используется промежуточное вредоносное ПО, эксплуатирующее уязвимости ОС для получения root-доступа, или неофициальные версии прошивок с встроенными привилегиями.

Одной из причин выбора злоумышленниками именно ТВ-приставок может быть то, что эти устройства часто работают на устаревших версиях Android с неустранёнными уязвимостями. Некоторые производители используют старые версии ОС, выдавая их за более новые, чтобы повысить привлекательность устройств. Пользователи могут ошибочно считать ТВ-приставки более защищёнными, чем смартфоны, и реже устанавливать на них антивирусное ПО, что повышает риск заражения при загрузке сторонних приложений или установке неофициальной прошивки.