Κυβερνοεγκληματίες έχουν μολύνει πάνω από 1,3 εκατομμύρια TV streaming boxes, που τρέχουν Android, με το νέο Vo1d backdoor malware. Το κακόβουλο λογισμικό είναι πολύ επικίνδυνο, αφού επιτρέπει στους επιτιθέμενους να αναλάβουν τον πλήρη έλεγχο των συσκευών.
Επηρεάστηκαν χρήστες σε περισσότερες από 200 χώρες, με τον μεγαλύτερο αριθμό να έχει εντοπιστεί σε Βραζιλία, Μαρόκο, Πακιστάν, Σαουδική Αραβία, Ρωσία, Αργεντινή, Εκουαδόρ, Τυνησία, Μαλαισία, Αλγερία και Ινδονησία.
Σύμφωνα με τη Google, οι συσκευές που βρέθηκαν στο στόχαστρο των hackers δεν τρέχουν Android TV, αλλά Android Open Source Project (AOSP). Πρόκειται για ένα λειτουργικό σύστημα ανοιχτού κώδικα, που μπορεί να χρησιμοποιηθεί σε κινητές συσκευές και συσκευές streaming και IoT. Το Android TV χρησιμοποιείται μόνο από την Google και τους εξουσιοδοτημένους συνεργάτες της.
Δείτε επίσης: TrickMo: Android Banking Malware που επιτίθεται σε χρήστες για κλοπή credentials σύνδεσης
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Ανακαλύψτε το Νέο Ανθρωποειδές Ρομπότ GR-2!
Τα TV streaming boxes, που μολύνθηκαν από το Vo1d backdoor malware, δεν ήταν συσκευές Android με πιστοποίηση Play Protect. Οι συσκευές Android με πιστοποίηση Play Protect υποβάλλονται σε εκτεταμένες δοκιμές για να διασφαλιστεί η ποιότητα και η ασφάλεια των χρηστών, αλλά δεν ισχύει το ίδιο για τις μη πιστοποιημένες.
Σύμφωνα με την Dr.Web, επηρεάζονται οι ακόλουθες εκδόσεις Android firmware:
- Android 7.1.2; R4 Build/NHG47K
- Android 12.1; TV BOX Build/NHG47K
- Android 10.1; KJ-SMART4KVIP Build/NHG47K
Ανάλογα με την έκδοση του Vo1d malware που έχει εγκατασταθεί, γίνονται διαφορετικά πράγματα. Οι επιτιθέμενοι μπορούν να τροποποιήσουν το install-recovery.sh, daemonsu ή να αντικαταστήσουν τα debuggerd αρχεία του λειτουργικού συστήματος, τα οποία είναι όλα startup scripts, που βρίσκονται συνήθως στο Android.
Αυτά τα scripts χρησιμοποιούνται για persistence και για την εκκίνηση του Vo1d malware.
Το ίδιο το Vo1d malware, που στοχεύει Android TV streaming boxes, βρίσκεται στα αρχεία wd και vo1d (από εκεί πήρε και το όνομά του).
Δείτε επίσης: Η επανεμφάνιση του FAREIT malware αποτελεί κρίσιμη απειλή
“Η κύρια λειτουργικότητα του Android. Vo1d κρύβεται στα vo1d (Android.Vo1d.1) και wd (Android.Vo1d.3) components, τα οποία λειτουργούν παράλληλα“, εξηγεί η Dr.Web.
“Το Android.Vo1d.1 module είναι υπεύθυνο για το Android. Η εκκίνηση του Vo1d.3 ελέγχει τη δραστηριότητά του, επανεκκινώντας τη διαδικασία εάν είναι απαραίτητο. Επιπλέον, μπορεί να πραγματοποιήσει λήψη και εκτέλεση αρχείων όταν του δοθεί εντολή από τον διακομιστή C&C“.
Επιπλέον, η εταιρεία εξήγησε ότι το Android.Vo1d.3 εγκαθιστά και εκκινεί το Android.Vo1d.5 daemon. Αυτό το module μπορεί να κατεβάσει και να εκτελέσει αρχεία. Ακόμα, παρακολουθεί συγκεκριμένους καταλόγους και εγκαθιστά τα αρχεία APK που βρίσκει μέσα τους.
Προς το παρόν, δεν είναι γνωστός ο τρόπος παραβίασης των Android TV streaming boxes. Ωστόσο, το Vo1d malware ή κάποιο άλλο malware (πρώτου σταδίου) μπορεί να εκμεταλλεύεσαι κάποια ευπάθεια. Σε πολλές περιπτώσεις, αυτές οι συσκευές δεν ενημερώνονται και άρα είναι εκτεθειμένες σε ευπάθειες.
Προστασία
Για να αποφευχθεί η μόλυνση από το Vo1d malware, μπορείτε να ακολουθήσετε κάποιες βασικές συμβουλές ασφαλείας.
- Εφαρμόστε νέες ενημερώσεις firmware, μόλις γίνονται διαθέσιμες.
- Βγάλτε εκτός σύνδεσης τα streaming boxes, σε περίπτωση που γίνεται εξ αποστάσεως εκμετάλλευση μέσω εκτεθειμένων υπηρεσιών.
- Αποφύγετε την εγκατάσταση εφαρμογών Android ως APK από ιστότοπους τρίτων.
Μια λίστα με τα IOC για την κακόβουλη καμπάνια είναι διαθέσιμη στη σελίδα GitHub της Dr. Web.
Αυτές οι μολύνσεις υπογραμμίζουν τη σημασία της ασφάλειας των streaming boxes, τα οποία είναι πολύ δημοφιλή. Καθώς όλο και περισσότερες συσκευές συνδέονται στο διαδίκτυο, αποτελούν έναν ελκυστικό στόχο για τους εγκληματίες του κυβερνοχώρου. Είναι σημαντικό για τους κατασκευαστές να δίνουν προτεραιότητα στην ασφάλεια των προϊόντων τους και να δημοσιεύουν τακτικά ενημερώσεις ασφαλείας για προστασία από εξελισσόμενες απειλές.
Δείτε επίσης: Η Mustang Panda χρησιμοποιεί τα PUBLOAD και HIUPAN malware σε επιθέσεις
Επιπλέον, οι χρήστες θα πρέπει επίσης να είναι προσεκτικοί και να εφαρμόζουν τις ενημερώσεις άμεσα. Το κακόβουλο λογισμικό μπορεί συχνά να συγκαλύπτεται ως νόμιμη εφαρμογή, γεγονός που καθιστά δύσκολο τον εντοπισμό του. Είναι σημαντικό να κάνετε λήψη μόνο από αξιόπιστες πηγές και να ελέγχετε πάντα τα δικαιώματα εφαρμογής πριν από την εγκατάσταση.
Πηγή: www.bleepingcomputer.com