Les auteurs de menaces ont infecté plus de 1,3 million de boîtiers de streaming TV exécutant Android avec un nouveau logiciel malveillant de porte dérobée Vo1d, permettant aux attaquants de prendre le contrôle total des appareils.
Le projet Open Source Android (AOSP) est un système d’exploitation open source dirigé par Google qui peut être utilisé sur des appareils mobiles, de streaming et IoT.
Dans un nouveau rapport de Dr. Web, les chercheurs ont découvert 1,3 million d’appareils infectés par le logiciel malveillant Vo1d dans plus de 200 pays, le plus grand nombre étant détecté au Brésil, au Maroc,au Pakistan, en Arabie saoudite, en Russie, en Argentine, en Équateur, en Tunisie, en Malaisie, en Algérie et en Indonésie.
Le micrologiciel Android ciblé dans cette campagne de logiciels malveillants comprend:
- Système d’exploitation Android 7.1.2; Version R4 / NHG47K
- Android 12.1; Construction de la BOÎTE de télévision / NHG47K
- Système d’exploitation Android 10.1; Version KJ-SMART4KVIP/NHG47K
En fonction de la version du logiciel malveillant Vo1d installé, la campagne modifiera le install-recovery.sh, daemonsu, ou remplacez les fichiers du système d’exploitation debuggerd, qui sont tous des scripts de démarrage couramment trouvés dans Android.
La campagne de logiciels malveillants utilise ces scripts pour la persistance et pour lancer le logiciel malveillant Vo1d au démarrage.
Le logiciel malveillant Vo1d lui-même se trouve dans les fichiers wd et vo1d, dont le logiciel malveillant porte le nom.
« Androïde. La fonctionnalité principale de Vo1d est cachée dans son vo1d (Android.Vo1d.1) et DEO (Android.Vo1d. 3), qui fonctionnent en tandem », explique le Dr Web.
« L’Androïde.Le module Vo1d.1 est responsable d’Android. Le lancement de Vo1d. 3 et contrôle son activité, redémarrant son processus si nécessaire. De plus, il peut télécharger et exécuter des exécutables sur commande du serveur C & C. »
« À son tour, l’Androïde.Le module Vo1d.3 installe et lance l’Androïde.Démon Vo1d. 5 qui est crypté et stocké dans son corps. Ce module peut également télécharger et exécuter des exécutables. De plus, il surveille les répertoires spécifiés et installe les fichiers APK qu’il y trouve. »
Bien que Dr. Web ne sache pas comment les appareils de streaming Android sont compromis, les chercheurs pensent qu’ils sont ciblés car ils exécutent généralement des logiciels obsolètes avec des vulnérabilités.
« Un vecteur d’infection possible pourrait être une attaque par un logiciel malveillant intermédiaire qui exploite les vulnérabilités du système d’exploitation pour obtenir des privilèges root », conclut Dr.Web.
« Un autre vecteur possible pourrait être l’utilisation de versions non officielles de micrologiciels avec accès root intégré. »
Pour éviter l’infection par ce logiciel malveillant, il est conseillé aux utilisateurs d’Android de rechercher et d’installer les nouvelles mises à jour du micrologiciel dès qu’elles sont disponibles. Assurez-vous également de supprimer ces boîtes d’Internet au cas où elles seraient exploitées à distance via des services exposés.
Enfin, évitez d’installer des applications Android en tant qu’APK à partir de sites tiers sur Android, car elles sont une source courante de logiciels malveillants.
Une liste des IOC pour la campagne de logiciels malveillants Vo1d est disponible sur la page GitHub de Dr. Web.
Mise à jour du 13/09/24: Google a déclaré à Breachtrace que les appareils infectés n’exécutaient pas Android TV mais utilisaient plutôt le projet Open Source Android (PSBA).
« Ces appareils hors marque découverts infectés n’étaient pas des appareils Android certifiés Play Protect. Si un appareil n’est pas certifié Play Protect, Google ne dispose pas d’un enregistrement des résultats des tests de sécurité et de compatibilité. Les appareils Android certifiés Play Protect subissent des tests approfondis pour garantir la qualité et la sécurité des utilisateurs. Pour vous aider à confirmer si un appareil est construit avec le système d’exploitation Android TV et certifié Play Protect, notre site Web Android TV fournit la liste la plus récente des partenaires. Vous pouvez également suivre ces étapes pour vérifier si votre appareil est certifié Play Protect. »- Un porte-parole de Google.
L’article a été mis à jour pour indiquer qu’ils n’exécutent pas Android TV, qui n’est utilisé que par Google et ses partenaires sous licence.