1,3 millones de TV boxes basados ​​en Android fueron atacados por una puerta trasera; los investigadores aún no saben cómo
 September 13, 2024
      No Comments
      admin


1,3 millones de TV boxes basados ​​en Android fueron atacados por una puerta trasera; los investigadores aún no saben cómo

Imágenes Getty

Los investigadores aún no conocen la causa de una infección de malware recientemente descubierta que afecta a casi 1,3 millones de dispositivos de transmisión que ejecutan una versión de código abierto de Android en casi 200 países.

La empresa de seguridad Doctor Web informó el jueves que un malware llamado Android.Vo1d ha introducido una puerta trasera en los equipos basados ​​en Android colocando componentes maliciosos en el área de almacenamiento del sistema, donde pueden ser actualizados con malware adicional en cualquier momento por servidores de comando y control. Los representantes de Google dijeron que los dispositivos infectados ejecutan sistemas operativos basados ​​en el Proyecto de Código Abierto Android, una versión supervisada por Google pero distinta de Android TV, una versión propietaria restringida a los fabricantes de dispositivos con licencia.

Docenas de variantes

Aunque Doctor Web tiene un conocimiento profundo de Vo1d y el alcance excepcional que ha alcanzado, los investigadores de la compañía dicen que aún tienen que determinar el vector de ataque que ha provocado las infecciones.

“Por el momento, la fuente de la infección por puerta trasera de los TV box sigue siendo desconocida”, afirmaba el artículo del jueves. “Un posible vector de infección podría ser un ataque de un malware intermedio que explota las vulnerabilidades del sistema operativo para obtener privilegios de root. Otro posible vector podría ser el uso de versiones de firmware no oficiales con acceso root integrado”.

Los siguientes modelos de dispositivos infectados por Vo1d son:

Modelo de decodificador de TV Versión de firmware declarada
R4 Android 7.1.2; compilación R4/NHG47K
CAJA DE TV Android 12.1; Versión de TV BOX/NHG47K
KJ-SMART4KVIP Android 10.1; Compilación KJ-SMART4KVIP/NHG47K

Una posible causa de las infecciones es que los dispositivos estén ejecutando versiones obsoletas que son vulnerables a exploits que ejecutan código malicioso de forma remota en ellos. Las versiones 7.1, 10.1 y 12.1, por ejemplo, se lanzaron en 2016, 2019 y 2022, respectivamente. Además, Doctor Web dijo que no es inusual que los fabricantes de dispositivos económicos instalen versiones anteriores del sistema operativo en los dispositivos de transmisión y los hagan parecer más atractivos haciéndolos pasar por modelos más actualizados.

Además, si bien solo los fabricantes de dispositivos con licencia pueden modificar el AndroidTV de Google, cualquier fabricante de dispositivos tiene libertad para realizar cambios en las versiones de código abierto. Eso deja abierta la posibilidad de que los dispositivos hayan sido infectados en la cadena de suministro y ya estuvieran en peligro cuando el usuario final los compró.

“Estos dispositivos de otras marcas que se descubrieron infectados no eran dispositivos Android certificados por Play Protect”, dijo Google en un comunicado. “Si un dispositivo no está certificado por Play Protect, Google no tiene un registro de resultados de pruebas de seguridad y compatibilidad. Los dispositivos Android certificados por Play Protect se someten a pruebas exhaustivas para garantizar la calidad y la seguridad del usuario”.

El comunicado dice que las personas pueden confirmar que un dispositivo ejecuta el sistema operativo Android TV consultando este enlace y siguiendo los pasos que se enumeran aquí.

El Doctor Web afirmó que existen docenas de variantes de Vo1d que utilizan un código diferente y colocan malware en áreas de almacenamiento ligeramente diferentes, pero que todas logran el mismo resultado final: conectarse a un servidor controlado por el atacante e instalar un componente final que puede instalar malware adicional cuando se le ordena. VirusTotal muestra que la mayoría de las variantes de Vo1d se cargaron por primera vez en el sitio de identificación de malware hace varios meses.

Los investigadores escribieron:

Todos estos casos presentaban síntomas de infección similares, por lo que los describiremos utilizando como ejemplo una de las primeras solicitudes que recibimos. En el decodificador afectado se modificaron los siguientes objetos:

  • instalar-recuperacion.sh
  • demonio su

Además, aparecieron 4 nuevos archivos en su sistema de archivos:

  • /sistema/xbin/vo1d
  • /sistema/xbin/wd
  • /sistema/bin/debuggerd
  • /sistema/bin/debuggerd_real

El vo1d y Esperando Los archivos son los componentes de la Android.Vo1d troyano que descubrimos.

Los autores del troyano probablemente intentaron camuflar uno de sus componentes como el programa de sistema /system/bin/vold, llamándolo con el nombre similar “vo1d” (sustituyendo la letra minúscula “l” por el número “1”). El nombre del programa malicioso proviene del nombre de este archivo. Además, esta ortografía es consonante con la palabra inglesa “void”.

El instalar-recuperacion.sh El archivo es un script que está presente en la mayoría de los dispositivos Android. Se ejecuta cuando se inicia el sistema operativo y contiene datos para ejecutar automáticamente los elementos especificados en él. Si algún malware tiene acceso root y la capacidad de escribir en el /sistema directorio del sistema, puede anclarse en el dispositivo infectado agregándose a este script (o creándolo desde cero si no está presente en el sistema). Android.Vo1d Ha registrado el inicio automático para el Esperando componente en este archivo.

El archivo install-recovery.sh modificado

El archivo install-recovery.sh modificado

Doctor Web

El demonio su El archivo está presente en muchos dispositivos Android con acceso root. Lo ejecuta el sistema operativo cuando se inicia y es responsable de proporcionar privilegios root al usuario. Android.Vo1d También se registró en este archivo, habiendo configurado también el inicio automático para el Esperando módulo.

El depurado El archivo es un demonio que se utiliza normalmente para crear informes sobre errores ocurridos. Pero cuando el decodificador de TV se infectó, este archivo fue reemplazado por el script que inicia el Esperando componente.

El depurador_real El archivo en el caso que estamos revisando es una copia del script que se utilizó para sustituir el real. depurado Los expertos de Doctor Web creen que los autores del troyano pretendían que el archivo original… depurado ser trasladado a depurador_real para mantener su funcionalidad. Sin embargo, como la infección probablemente ocurrió dos veces, el troyano movió el archivo ya sustituido (es decir, el script). Como resultado, el dispositivo tenía dos scripts del troyano y ni uno solo real. depurado archivo de programa.

Al mismo tiempo, otros usuarios que nos contactaron tenían una lista ligeramente diferente de archivos en sus dispositivos infectados:

  • demonio su (el vo1d archivo análogo — Android.Vo1d.1);
  • Esperando (Android.Vo1d.3);
  • depurado (el mismo script que el descrito arriba);
  • depurador_real (el archivo original de la depurado herramienta);
  • instalar-recuperacion.sh (un script que carga objetos especificados en él).

Un análisis de todos los archivos antes mencionados mostró que para anclar Android.Vo1d en el sistema, sus autores utilizaron al menos tres métodos diferentes: modificación de la instalar-recuperacion.sh y demonio su archivos y sustitución de los depurado programa. Probablemente esperaban que al menos uno de los archivos de destino estuviera presente en el sistema infectado, ya que manipular incluso uno de ellos garantizaría el inicio automático exitoso del troyano durante los reinicios posteriores del dispositivo.

Android.Vo1dLa funcionalidad principal de está oculta en su vo1d (Android.Vo1d.1) y Esperando (Android.Vo1d.3) componentes que funcionan en tándem. Android.Vo1d.1 El módulo es responsable de Android.Vo1d.3El programa ejecuta y controla su actividad, reiniciando su proceso si es necesario. Además, puede descargar y ejecutar archivos ejecutables cuando así se lo ordene el servidor C&C. A su vez, el Android.Vo1d.3 El módulo instala y ejecuta el Android.Vo1d.5 Daemon que está encriptado y almacenado en su cuerpo. Este módulo también puede descargar y ejecutar archivos ejecutables. Además, monitorea directorios específicos e instala los archivos APK que encuentra en ellos.

La distribución geográfica de las infecciones es amplia, detectándose el mayor número en Brasil, Marruecos, Pakistán, Arabia Saudita, Rusia, Argentina, Ecuador, Túnez, Malasia, Argelia e Indonesia.

Un mapa mundial que enumera el número de infecciones encontradas en varios países.
Agrandar / Un mapa mundial que enumera el número de infecciones encontradas en varios países.

Doctor Web

Para las personas con menos experiencia no es especialmente fácil comprobar si un dispositivo está infectado sin instalar escáneres de malware. Doctor Web afirmó que su software antivirus para Android detectará todas las variantes de Vo1d y desinfectará los dispositivos que proporcionen acceso root. Los usuarios con más experiencia pueden comprobar los indicadores de vulnerabilidad aquí.



Source link