Массовое заражение 1,3 млн устройств по всему миру заставило рассмотреть опасность поближе.
Специалисты Dr.Web обнаружили новый случай массового заражения ТВ-приставок на базе Android. Вредоносная программа, получившая название Android.Vo1d, поразила около 1,3 миллиона устройств в 197 странах.
Android.Vo1d представляет собой бэкдор, который размещает свои компоненты в системной области памяти устройства. При получении команд от злоумышленников он способен незаметно загружать и устанавливать стороннее программное обеспечение.
В августе 2024 года в Doctor Web обратились пользователи, чьи антивирусы Dr.Web обнаружили изменения в системных файлах их ТВ-приставок. Проблема затронула модели:
Во всех случаях наблюдались схожие признаки заражения. В системных файлах устройств были изменены или добавлены следующие объекты: модифицированные файлы install-recovery.sh и daemonsu, а также новые файлы /system/xbin/vo1d, /system/xbin/wd, /system/bin/debuggerd и /system/bin/debuggerd_real.
Файлы vo1d и wd являются компонентами троянской программы Android.Vo1d. Злоумышленники попытались замаскировать один из компонентов под системную программу /system/bin/vold, заменив букву «l» на цифру «1» в названии.
Троян вносит изменения в скрипт install-recovery.sh, который запускается при старте операционной системы, чтобы обеспечить автозапуск компонента wd. Также модифицируется файл daemonsu, отвечающий за предоставление root-привилегий, с той же целью. Файл debuggerd, обычно используемый для создания отчётов об ошибках, заменяется скриптом, запускающим компонент wd.
Android.Vo1d использует несколько методов для обеспечения своей активности на зараженных устройствах:
Такие тактики повышают вероятность того, что хотя бы один из методов успешно запустит вредоносное ПО при перезагрузке устройства.
Основная функциональность Android.Vo1d содержится в компонентах vo1d и wd, которые работают в паре. Модуль vo1d запускает wd и контролирует его активность, перезапуская процесс при необходимости. Оба модуля могут загружать и запускать исполняемые файлы, а также устанавливать обнаруженные APK-файлы.
По данным Doctor Web, наибольшее число заражений зарегистрировано в Бразилии, Марокко, Пакистане, Саудовской Аравии, Аргентине, России, Эквадоре, Тунисе, Малайзии, Алжире и Индонезии.
Источник заражения ТВ-приставок пока неизвестен. Возможно, используется промежуточное вредоносное ПО, эксплуатирующее уязвимости ОС для получения root-доступа, или неофициальные версии прошивок с встроенными привилегиями.
Одной из причин выбора злоумышленниками именно ТВ-приставок может быть то, что эти устройства часто работают на устаревших версиях Android с неустранёнными уязвимостями. Некоторые производители используют старые версии ОС, выдавая их за более новые, чтобы повысить привлекательность устройств. Пользователи могут ошибочно считать ТВ-приставки более защищёнными, чем смартфоны, и реже устанавливать на них антивирусное ПО, что повышает риск заражения при загрузке сторонних приложений или установке неофициальной прошивки.
От классики до авангарда — наука во всех жанрах