信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/胡金魚。

Android開源項目(AOSP)是由Google領導的開源操作系統(tǒng)，可用于移動、流媒體和物聯(lián)網(wǎng)設備。日前，安全研究人員發(fā)現(xiàn)威脅者已經(jīng)用一種新的Vo1d后門惡意軟件感染了超過130萬個運行Android的電視流媒體盒，從而使攻擊者能夠完全控制這些設備。

Dr.Web在一份新報告中表示，研究人員發(fā)現(xiàn)，超過200個國家/地區(qū)有130萬臺設備感染了Vo1d惡意軟件，其中巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄羅斯、阿根廷、厄瓜多爾、突尼斯、馬來西亞、阿爾及利亞和印度尼西亞等國感染數(shù)量最多。

受Vo1d感染的電視盒的地理分布

此次惡意軟件活動所針對的Android固件包括：

·Android 7.1.2；

·R4構建/NHG47K Android 12.1；

·電視盒構建/NHG47K Android 10.1；

·KJ-SMART4KVIP構建/NHG47K。

根據(jù)安裝的Vo1d惡意軟件的版本，該活動將修改install-recovery.sh、daemonsu，或替換debuggerd操作系統(tǒng)文件，這些都是Android中常見的啟動腳本。

修改install-recovery.sh文件

惡意軟件活動使用這些腳本來保持持久性并在啟動時啟動Vo1d惡意軟件。

Vo1d惡意軟件本身位于wd和vo1d文件中，該惡意軟件以這兩個文件命名。Android.Vo1d的主要功能隱藏在其vo1d（Android.Vo1d.1）和wd（Android.Vo1d.3）組件中，這兩個組件協(xié)同運行。

Android.Vo1d.1模塊負責Android.Vo1d.3的啟動并控制其活動，必要時重新啟動其進程。此外，它還可以在C&C服務器發(fā)出命令時下載并運行可執(zhí)行文件。反過來，Android.Vo1d.3模塊會安裝并啟動加密并存儲在其主體中的Android.Vo1d.5守護進程。該模塊還可以下載并運行可執(zhí)行文件。此外，它還會監(jiān)視指定目錄并安裝在其中找到的APK文件。

雖然Dr.Web不知道Android流媒體設備是如何受到攻擊的，但研究人員認為它們之所以成為攻擊目標，是因為它們通常運行會存在漏洞的過時軟件。

Dr.Web總結道：“一種可能的感染媒介可能是利用操作系統(tǒng)漏洞獲取root權限的中間惡意軟件的攻擊。另一種可能的媒介可能是使用內(nèi)置root訪問權限的非官方固件版本。”

為了防止感染此惡意軟件，建議Android用戶在有新固件更新時檢查并安裝。此外，請務必從互聯(lián)網(wǎng)上刪除這些盒子，以防它們通過暴露的服務被遠程利用。同樣重要的是，避免在Android上安裝來自第三方網(wǎng)站的Android應用程序作為APK，因為它們是惡意軟件的常見來源。

9月12號最新公告表示，受感染的設備并未運行Android TV，而是使用Android開放源代碼項目(AOSP)。

Google發(fā)言人表示：“這些被發(fā)現(xiàn)感染的雜牌設備不是經(jīng)過Play Protect認證的Android設備。如果設備未通過Play Protect認證，Google就沒有安全性和兼容性測試結果記錄。”

目前經(jīng)過Play Protect認證的Android設備已經(jīng)經(jīng)過測試，以確保質(zhì)量和用戶安全。為了用戶確認設備是否采用Android TV操作系統(tǒng)和經(jīng)過Play Protect認證，Android TV網(wǎng)站提供了最新的合作伙伴列表，用戶可以按照相應步驟檢查設備是否經(jīng)過Play Protect認證。