Android.Vo1d: A legújabb kártékony program, ami 1,3 millió streaming eszközt fertőzött meg
A Doctor Web biztonsági cég csütörtöki jelentése szerint a Android.Vo1d nevű kártékony program már közel 1,3 millió streaming eszközt fertőzött meg, amelyek nyílt forráskódú Android verziót futtatnak 200 országban. A vírus a készülékek rendszer tároló területére került be, ahol bármikor frissíthető további kártékony szoftverekkel.
A Google képviselői megerősítették, hogy az érintett eszközök az Android Open Source Project alapjaira épülnek. Ez a verzió a Google felügyelete alatt áll, de eltér az Android TV-től, amely kizárólag engedéllyel rendelkező gyártók számára érhető el.
Fertőzés forrása ismeretlen
Bár a Doctor Web alaposan megértette a Vo1d működését és elterjedtségét, a kutatók még nem tudják meghatározni a fertőzés forrását. Az elméletek között szerepel, hogy egy közbenső kártékony program támadása vagy nem hivatalos firmware verziók használata okozhatta a problémát.
A fertőzött eszközmodellek közé tartozik:
- R4 – Android 7.1.2
- TV BOX – Android 12.1
- KJ-SMART4KVIP – Android 10.1
A fertőzések egyik lehetséges oka, hogy az eszközök elavult verziókat futtatnak, amelyek sebezhetőek a távoli kód végrehajtására. A Doctor Web megjegyezte, hogy gyakori, hogy az alacsony költségű eszközgyártók régi operációs rendszert telepítenek, hogy vonzóbbá tegyék termékeiket.
Fertőzött eszközök és Play Protect
A Google kijelentette, hogy a felfedezett off-brand eszközök nem voltak Play Protect tanúsítvánnyal rendelkező Android eszközök. „Ha egy eszköz nem rendelkezik Play Protect tanúsítvánnyal, a Google nem tudja nyomon követni a biztonsági és kompatibilitási tesztelési eredményeket,” mondta a cég. A felhasználók az eszközük Android TV OS-re való ellenőrzéséhez egy adott linket használhatnak.
A Doctor Web kutatói több mint tucatnyi Vo1d variánst azonosítottak, amelyek eltérő kódokat használnak, ám mindegyikük ugyanazt az eredményt éri el: csatlakoznak egy támadó által irányított szerverhez, amely lehetővé teszi a további kártékony szoftverek telepítését.
Fertőzés jelei és módszerei
A kutatók megállapították, hogy a fertőzött TV boxok rendszermappáiban különböző fájlok találhatóak, amelyek a kártékony program működését segítik elő. A vo1d és wd fájlok, mint az Android.Vo1d trojan fő összetevői, különböző módszerekkel rögzítik magukat a rendszerben.
A fertőzések földrajzi eloszlása széleskörű, a legtöbb esetet Brazíliában, Marokkóban, Pakisztánban, Szaúd-Arábiában, Oroszországban és más országokban észlelték.
A Doctor Web antivírus szoftvere az összes Vo1d variánst képes észlelni, és képes a fertőzött eszközök fertőtlenítésére is.
Érdekes tény: A kártékony program neve, Vo1d, egy szójáték, amely az angol „void” szóra utal, jelentése „üresség” vagy „hiány”.
Források: Doctor Web, Google, VirusTotal