Malware Vo1d infeta 1.3 milhões de boxes de TV Android
Um grupo de investigadores revelou ter descoberto uma rede de malware que, ao longo de vários anos, terá infetado mais de 1.3 milhões de boxes de TV com o sistema Android. O malware, conhecido como Vo1d, permite aos atacantes terem total controlo do sistema da box remotamente.
De acordo com a empresa de segurança Dr.Web, mais de 1.3 milhões de dispositivos contendo este malware foram descobertos nos últimos meses, encontrando-se ainda ativos. A maioria encontra-se em países como Brasil, Marrocos, Paquistão, Rússia, Argentina, Tunísia e Malásia.
O malware encontra-se presente nos seguintes modelos de boxes para TV, com diferentes versões do Android:
- Android 7.1.2; R4 Build/NHG47K
- Android 12.1; TV BOX Build/NHG47K
- Android 10.1; KJ-SMART4KVIP Build/NHG47K
Dependendo do sistema, o malware Vo1d altera os scripts de início do sistema, para proceder com a reativação do malware caso o mesmo seja desativado ou removido por algum motivo. Desta forma, o mesmo é persistente mesmo depois de ser feito o reset completo da box.
O malware possui ainda a capacidade de se dividir em diferentes processos, que podem realizar diferentes ações no sistema. Entre estas encontra-se a capacidade de reiniciar o processo do malware, ativar o backdoor para permitir acesso remoto, entre outros.
Os atacantes podem, com este acesso, obter praticamente controlo completo das boxes, e usar as mesmas para as mais variadas atividades, desde roubo de credenciais a uso das ligações para ataques remotos.
Embora se desconheça como as boxes afetadas pelo malware estão a ser atacadas inicialmente, os investigadores acreditam que pode passar pela exploração de falhas do sistema operativo Android, tendo em conta que os sistemas afetados possuem todas versões antigas do sistema da Google.
Existe ainda a possibilidade de o malware se encontrar ativo devido à instalação de aplicações de fontes externas, que podem ter sido modificadas para integrar malware nas mesmas. De momento não existem indícios de que o malware tenha sido instalado de origem das fábricas, portanto o ataque ocorre depois desta fase.
As boxes em questão usam o sistema Android Open Source Project (AOSP), que é a versão aberta do Android, e não o sistema Android TV, que conta com a certificação para uso dos Serviços da Google e da Play Store – o que aumenta a probabilidade de o malware se instalar via fontes de terceiros, como apps descarregadas da internet, tendo em conta que boxes com AOSP vulgarmente não possuem acesso à Google Play Store.