1,3 Millionen Android-basierte TV-Boxen mit Hintertüren versehen; Forscher wissen immer noch nicht, wie

Forscher kennen die Ursache einer kürzlich entdeckten Malware-Infektion noch immer nicht, von der fast 1,3 Millionen Streaming-Geräte in fast 200 Ländern betroffen sind, auf denen eine Open-Source-Version von Android läuft.

Sicherheitsfirma Doctor Web berichtete Donnerstag Diese Malware namens Android.Vo1d hat die Android-basierten Boxen mit einer Hintertür versehen, indem sie bösartige Komponenten in ihren Systemspeicherbereich platziert, wo sie jederzeit von Befehls- und Kontrollservern mit zusätzlicher Malware aktualisiert werden können. Vertreter von Google sagten, dass auf den infizierten Geräten Betriebssysteme laufen, die auf dem Android Open Source Project basieren, einer von Google überwachten Version, die sich jedoch von Android TV unterscheidet, einer proprietären Version, die lizenzierten Geräteherstellern vorbehalten ist.

Dutzende Varianten

Obwohl Doctor Web Vo1d und die außergewöhnliche Reichweite, die es erreicht hat, genau kennt, sagen die Forscher des Unternehmens, dass sie den Angriffsvektor, der zu den Infektionen geführt hat, noch nicht ermittelt haben.

„Derzeit ist die Quelle der Backdoor-Infektion der TV-Boxen unbekannt“, hieß es in dem Post vom Donnerstag. „Ein möglicher Infektionsvektor könnte ein Angriff durch eine zwischengeschaltete Malware sein, die Schwachstellen im Betriebssystem ausnutzt, um Root-Rechte zu erlangen. Ein weiterer möglicher Vektor könnte die Verwendung inoffizieller Firmware-Versionen mit integriertem Root-Zugriff sein.“

Die folgenden von Vo1d infizierten Gerätemodelle sind:

Eine mögliche Ursache für die Infektionen ist, dass auf den Geräten veraltete Versionen laufen, die anfällig für Exploits sind, die aus der Ferne Schadcode auf ihnen ausführen. Die Versionen 7.1, 10.1 und 12.1 wurden beispielsweise in den Jahren 2016, 2019 bzw. 2022 veröffentlicht. Darüber hinaus sei es laut Doctor Web nicht ungewöhnlich, dass Hersteller von Billiggeräten ältere Betriebssystemversionen in Streaming-Boxen installieren und diese attraktiver erscheinen lassen, indem sie sie als aktuellere Modelle ausgeben.

Während nur lizenzierte Gerätehersteller Googles AndroidTV modifizieren dürfen, steht es jedem Gerätehersteller frei, Änderungen an Open-Source-Versionen vorzunehmen. Das lässt die Möglichkeit offen, dass die Geräte in der Lieferkette infiziert wurden und bereits zum Zeitpunkt des Kaufs durch den Endbenutzer kompromittiert waren.

„Die infizierten Geräte von Fremdherstellern waren nicht Play Protect-zertifizierte Android-Geräte”, sagte Google in einer Erklärung. „Wenn ein Gerät nicht Play Protect-zertifiziert ist, verfügt Google nicht über Aufzeichnungen der Ergebnisse von Sicherheits- und Kompatibilitätstests. Play Protect-zertifizierte Android-Geräte werden umfangreichen Tests unterzogen, um Qualität und Benutzersicherheit zu gewährleisten.”

In der Erklärung heißt es, dass man sich vergewissern kann, dass auf einem Gerät das Android TV-Betriebssystem läuft, indem man dieser Link und befolgen Sie die aufgeführten Schritte Hier.

Doctor Web sagte, dass es Dutzende von Vo1d-Varianten gibt, die unterschiedlichen Code verwenden und Malware in leicht unterschiedlichen Speicherbereichen platzieren, aber alle das gleiche Endergebnis erzielen: Sie verbinden sich mit einem vom Angreifer kontrollierten Server und installieren eine letzte Komponente, die auf Anweisung zusätzliche Malware installieren kann. VirusTotal zeigt, dass die meisten Vo1d-Varianten vor mehreren Monaten erstmals auf die Malware-Identifizierungsseite hochgeladen wurden.

Die Forscher schrieben:

Da alle diese Fälle ähnliche Infektionssymptome aufwiesen, beschreiben wir sie am Beispiel einer der ersten Anfragen, die wir erhalten haben. Auf der betroffenen TV-Box wurden folgende Objekte geändert:

• install-recovery.sh
• daemonsu

Darüber hinaus sind in seinem Dateisystem vier neue Dateien aufgetaucht:

• /system/xbin/vo1d
• /system/xbin/wd
• /system/bin/debuggerd
• /system/bin/debuggerd_real

Der vo1d Und wd Dateien sind die Komponenten der Android.Vo1d Trojaner, den wir entdeckt haben.

Die Autoren des Trojaners haben wahrscheinlich versucht, eine seiner Komponenten als Systemprogramm /system/bin/vold zu tarnen, indem sie es mit dem ähnlich aussehenden Namen „vo1d“ bezeichneten (wobei sie den Kleinbuchstaben „l“ durch die Zahl „1“ ersetzten). Der Name des Schadprogramms leitet sich vom Namen dieser Datei ab. Außerdem ist diese Schreibweise mit dem englischen Wort „void“ (void) identisch.

Der install-recovery.sh Datei ist ein Skript, das auf den meisten Android-Geräten vorhanden ist. Es wird ausgeführt, wenn das Betriebssystem gestartet wird, und enthält Daten zum automatischen Ausführen der darin angegebenen Elemente. Wenn Malware Root-Zugriff und die Möglichkeit hat, in die /System Systemverzeichnis, kann es sich im infizierten Gerät verankern, indem es sich selbst zu diesem Skript hinzufügt (oder indem es es von Grund auf neu erstellt, wenn es nicht im System vorhanden ist). Android.Vo1d hat den Autostart für den wd Komponente in dieser Datei.

Der daemonsu Die Datei ist auf vielen Android-Geräten mit Root-Zugriff vorhanden. Sie wird beim Start des Betriebssystems ausgeführt und ist dafür verantwortlich, dem Benutzer Root-Rechte zu gewähren. Android.Vo1d hat sich ebenfalls in dieser Datei registriert, nachdem er auch den Autostart für den wd Modul.

Der debuggerd Datei ist ein Daemon, der normalerweise verwendet wird, um Berichte über aufgetretene Fehler zu erstellen. Aber als die TV-Box infiziert wurde, wurde diese Datei durch das Skript ersetzt, das den wd Komponente.

Der debuggerd_real Datei in dem Fall, den wir untersuchen, ist eine Kopie des Skripts, das verwendet wurde, um das echte zu ersetzen debuggerd Datei. Die Experten von Doctor Web glauben, dass die Autoren des Trojaners die ursprüngliche debuggerd eingezogen werden debuggerd_real um seine Funktionalität aufrechtzuerhalten. Da die Infektion jedoch wahrscheinlich zweimal auftrat, verschob der Trojaner die bereits ersetzte Datei (also das Skript). Infolgedessen verfügte das Gerät über zwei Skripte des Trojaners und nicht über ein einziges echtes debuggerd Programmdatei.

Gleichzeitig hatten andere Benutzer, die uns kontaktierten, eine leicht unterschiedliche Liste von Dateien auf ihren infizierten Geräten:

• daemonsu (Die vo1d Dateianalog — Android.Vo1d.1);
• wd (Android.Vo1d.3);
• debuggerd (dasselbe Skript wie oben beschrieben);
• debuggerd_real (die Originaldatei der debuggerd Werkzeug);
• install-recovery.sh (ein Skript, das darin angegebene Objekte lädt).

Eine Analyse aller oben genannten Dateien ergab, dass zur Verankerung Android.Vo1d im System verwendeten seine Autoren mindestens drei verschiedene Methoden: Modifikation der install-recovery.sh Und daemonsu Dateien und Ersetzung der debuggerd Programm. Sie gingen wahrscheinlich davon aus, dass mindestens eine der Zieldateien im infizierten System vorhanden sein würde, da die Manipulation auch nur einer davon den erfolgreichen automatischen Start des Trojaners bei nachfolgenden Neustarts des Geräts sicherstellen würde.

Android.Vo1dDie Hauptfunktionalität von verbirgt sich in seinem vo1d (Android.Vo1d.1) Und wd (Android.Vo1d.3) Komponenten, die im Tandem arbeiten. Die Android.Vo1d.1 Modul ist verantwortlich für Android.Vo1d.3s startet und steuert seine Aktivität und startet seinen Prozess bei Bedarf neu. Darüber hinaus kann es ausführbare Dateien herunterladen und ausführen, wenn es vom C&C-Server dazu aufgefordert wird. Im Gegenzug kann das Android.Vo1d.3 Modul installiert und startet die Android.Vo1d.5 Daemon, der verschlüsselt und in seinem Hauptteil gespeichert ist. Dieses Modul kann auch ausführbare Dateien herunterladen und ausführen. Darüber hinaus überwacht es angegebene Verzeichnisse und installiert die APK-Dateien, die es dort findet.

Die Infektionen sind weit gestreut. Die meisten davon wurden in Brasilien, Marokko, Pakistan, Saudi-Arabien, Russland, Argentinien, Ecuador, Tunesien, Malaysia, Algerien und Indonesien festgestellt.

Für weniger erfahrene Benutzer ist es nicht besonders einfach zu überprüfen, ob ein Gerät infiziert ist, ohne Malware-Scanner zu installieren. Doctor Web sagte, dass seine Antivirensoftware für Android alle Vo1d-Varianten erkennt und Geräte desinfiziert, die Root-Zugriff bieten. Erfahrenere Benutzer können nach Indikatoren für Kompromittierung suchen Hier.