圈小蛙

130万台Android电视盒被植入恶意后门,研究人员仍不知道具体原因

研究人员仍然不知道最近发现的恶意软件感染的原因,该感染影响了近 200 个国家/地区运行 Android 开源版本的近 130 万台流媒体设备。

安全公司 Doctor Web周四报告称,名为 Android.Vo1d 的恶意软件已在 Android 设备中植入后门,将恶意组件放入设备系统存储区,通过命令和控制服务器,设备可随时更新恶意软件。谷歌代表表示,受感染的设备运行的操作系统基于 Android 开源项目,该版本由谷歌监管,但与 Android TV 不同,后者是专有版本,仅限获得许可的设备制造商使用。

数十种变体

尽管 Doctor Web 对 Vo1d 及其广泛影响力有着透彻的了解,但公司研究人员表示,他们尚未确定导致感染的攻击媒介。

“目前,电视盒后门感染的来源仍不清楚,”周四的帖子称。“一种可能的感染媒介可能是利用操作系统漏洞获取 root 权限的中间恶意软件的攻击。另一种可能的媒介可能是使用内置 root 访问权限的非官方固件版本。”

受Vo1d感染的设备型号如下:

电视盒型号声明的固件版本
R4Android 7.1.2; R4 Build/NHG47K
TV BOXAndroid 12.1; TV BOX Build/NHG47K
KJ-SMART4KVIPAndroid 10.1; KJ-SMART4KVIP Build/NHG47K

感染的一个可能原因是这些设备运行的是过时的版本,容易受到攻击,从而远程执行恶意代码。例如,版本 7.1、10.1 和 12.1 分别于 2016 年、2019 年和 2022 年发布。此外,Doctor Web 表示,廉价设备制造商在流媒体盒中安装旧版操作系统并将它们伪装成更新的型号以使其看起来更具吸引力的情况并不少见。

此外,虽然只有获得许可的设备制造商才被允许修改 Google 的 AndroidTV,但任何设备制造商都可以自由地对开源版本进行更改。这就留下了设备在供应链中被感染并在最终用户购买时已经受到攻击的可能性。

谷歌在一份声明中表示: “这些被发现感染的非品牌设备并非经过Play Protect 认证的 Android 设备。如果设备未经过 Play Protect 认证,谷歌就没有安全性和兼容性测试结果的记录。经过 Play Protect 认证的 Android 设备经过了广泛的测试,以确保质量和用户安全。”

声明称,人们可以通过查看此链接并按照此处列出的步骤来确认设备是否运行 Android TV 操作系统。

Doctor Web 表示,Vo1d 有数十种变种,它们使用不同的代码,将恶意软件植入略有不同的存储区域,但最终结果都是相同的,即连接到攻击者控制的服务器并安装最终组件,该组件可在收到指令后安装其他恶意软件。VirusTotal 显示,大多数 Vo1d 变种都是几个月前首次上传到恶意软件识别网站的。

研究人员写道:

所有这些案例都涉及类似的感染迹象,因此我们将使用收到的第一个请求之一作为示例进行描述。受影响的电视盒上更改了以下对象:

  • install-recovery.sh
  • daemonsu

此外,其文件系统中出现了4个新文件:

  • /system/xbin/vo1d
  • /system/xbin/wd
  • /system/bin/debuggerd
  • /system/bin/debuggerd_real

vo1d和wd文件是我们发现的Android.Vo1d木马的组件。

该木马的作者可能试图将其组件之一伪装成系统程序 /system/bin/vold,并使用相似的名称“vo1d”(用数字“1”代替小写字母“l”)。该恶意程序的名称来自此文件的名称。此外,这个拼写与英文单词“void”谐音。

install-recovery.sh文件是大多数 Android 设备上都存在的脚本。它在操作系统启动时运行,并包含用于自动运行其中指定的元素的数据。如果任何恶意软件具有 root 访问权限并能够写入/system系统目录,它可以通过将自身添加到此脚本(如果系统中不存在,则从头开始创建它)将自身锚定在受感染的设备中。Android.Vo1d已在此文件中注册了wd组件的自动启动。

daemonsu文件存在于许多具有 root 访问权限的 Android 设备上。它在操作系统启动时启动,并负责为用户提供 root 权限。Android.Vo1d也在此文件中注册了自身,并为wd模块设置了自动启动。

debuggerd文件是一个守护进程,通常用于创建发生的错误报告。但当电视盒被感染时,该文件被启动wd组件的脚本所取代。

我们所审查的案例中的debuggerd_real文件是用于替换真实debuggerd文件的脚本的副本。Doctor Web 专家认为,该木马的作者打算将原始debuggerd移入debuggerd_real以保持其功能。但是,由于感染可能发生了两次,该木马移动了已经替换的文件(即脚本)。结果,该设备有两个来自该木马的脚本,而不是一个真正的debuggerd程序文件。

与此同时,联系我们的其他用户在受感染的设备上有一个略有不同的文件列表:

  • daemonsu(vo1d文件类似物——Android.Vo1d.1 );
  • wd(Android.Vo1d.3);
  • debuggerd(与上面描述的相同的脚本);
  • debuggerd_real ( debuggerd工具的原始文件);
  • install-recovery.sh(加载其中指定的对象的脚本)。

对所有上述文件的分析表明,为了将Android.Vo1d 固定在系统中,其作者使用了至少三种不同的方法:修改 install-recovery.sh和daemonsu文件以及替换debuggerd程序。他们可能预计受感染的系统中至少存在一个目标文件,因为即使操纵其中一个文件也能确保该木马在后续设备重启时成功自动启动。

Android.Vo1d的主要功能隐藏在其vo1d ( Android.Vo1d.1 ) 和wd ( Android.Vo1d.3 ) 组件中,这两个组件协同运行。Android.Vo1d.1模块负责Android.Vo1d.3的启动并控制其活动,必要时重启其进程。此外,它还可以在收到 C&C 服务器的命令后下载并运行可执行文件。反过来, Android.Vo1d.3模块会安装并启动加密并存储在其主体中的Android.Vo1d.5守护进程。此模块还可以下载并运行可执行文件。此外,它还会监视指定目录并安装其中找到的 APK 文件。

被感染电视盒的地理分布广泛,其中巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄罗斯、阿根廷、厄瓜多尔、突尼斯、马来西亚、阿尔及利亚和印度尼西亚最多。

对于经验不足的人来说,如果不安装恶意软件扫描程序,要检查设备是否受到感染并不是一件特别容易的事。Doctor Web 表示,它的安卓杀毒软件可以检测到所有 Vo1d 变种,并对提供 root 访问权限的设备进行杀毒。更有经验的用户可以在此处检查入侵指标。

Exit mobile version