Přejít k hlavnímu obsahu

Přes milion androidových TV boxů zneužili hackeři: možná to ani nevíte, ale netýká se to i vaší televize?

Jiří Palyza 17.09.2024
info ikonka
Zdroj: Glenn Carstens-Peters/Unsplash

Výzkumníci v oblasti digitální bezpečnosti stále nevědí, jakým způsobem ke zneužití došlo. Nedávno objevená malwarová infekce postihla bezmála 1,3 milionu streamovacích zařízení, které běží na open source verzi Androidu.

Na velký průšvih, který postihl uživatele androidových TV boxů ve dvou stovkách zemí, upozornili výzkumníci ze společnosti Doctor Web. Malware, který dostal název "Android.Vo1d" a cílí především na streamingové TV boxy, do systémového úložiště zařízení vkládá škodlivé komponenty.

Zneužívá k tomu zranitelnost typu "back door", která se zpravidla týká neošetřených komunikačních portů. Infiltrace škodlivého kódu umožňuje následné řízení anebo ukládání dalšího malwaru prostřednictvím řídících a komunikačních serverů.

Zástupci Googlu k celé věci uvedli, že infikovaná zařízení používají operační systém, založený na projektu Android Open Source, který je pod dohledem společnosti Google. Od proprietární verze Android TV se liší tím, že ta je vyhrazena výrobcům zařízení s licencí.

Desítky možných variant

Dálkové ovládání na TV
info ikonka
Zdroj: Kelly Sikkema/Unsplash
Ve všech případech měla infekce škodlivým kódem stejné příznaky. U dotčených TV boxů došlo ke změně specifických softwarových komponent.

Experti z firmy Doctor Web malware Vo1d důkladně znají, a to včetně výjimečného rozšíření, kterého se jeho zneužitím podařilo dosáhnout. Přesto tvrdí, že se jim zatím nepodařilo určit vektor útoku, který k tak rozsáhlým infekcím vedl.

V tuto chvíli zůstává zdroj infekce typu back door u televizních boxů neznámý,“ uvádí se ve sdělení firmy z minulého týdne. „Jedním z možných vektorů infekce by mohl být útok zprostředkujícího malwaru, který využívá zranitelnosti operačního systému k získání práv root. Dalším možným vektorem by mohlo být použití neoficiálních verzí firmwaru s vestavěným root přístupem.

Malware Vo1d míří především na následující modely streamovacích boxů:


Model TV boxu Deklarovaná verze firmwaru

R4 Android 7.1.2; R4 Build/NHG47K

TV BOX Android 12.1; TV BOX Build/NHG47K

KJ-SMART4KVIP Android 10.1; KJ-SMART4KVIP Build/NHG47K

Jednou z možných příčin infekcí je, že v zařízeních jsou používány zastaralé verze Androidu. Ty jsou potom  zranitelné vůči exploitům, které na nich vzdáleně spustí škodlivý kód.

Například verze 7.1, 10.1 a 12.1 byly vydány v letech 2016, 2019 a 2022. Podle Doctor Web navíc není neobvyklé, že výrobci levných zařízení instalují do streamovacích boxů starší verze operačního systému, ale vydávají je za aktuálnější modely.

Další problém je, že zatímco Android TV od Googlu mohou upravovat pouze licencovaní výrobci zařízení, verze s otevřeným zdrojovým kódem může měnit de facto každý výrobce. To ponechává otevřený i scénář, kdy zařízení mohla být infikována v dodavatelském řetězci a byla kompromitována již v době, kdy je zakoupil koncový uživatel.

Mohlo by vás zajímat

Google k tomu upřesňuje: „Tato neznačková zařízení, u nichž byla zjištěna infekce, nebyla zařízeními s certifikátem Play Protect. U takových výrobků Google nemá k dispozici záznamy o výsledcích testů zabezpečení a kompatibility.

V prohlášení Google dále uvádí, že uživatelé si mohou ověřit, zda jejich zařízení používá operační systém Android TV OS, a to kontrolou na stránce Android TV a provedením uvedených kroků.

Doctor Web uvedl, že existují desítky variant Vo1d, které používají různý kód a umisťují malware do mírně odlišných úložišť. Všechny ale dosahují stejného cíle: připojují se k serveru ovládanému útočníkem a instalují finální komponentu, která může na vzdálený pokyn nainstalovat další malware.

Mohlo by vás zajímat

Antivirový agregátor VirusTotal dodává, že většina variant Vo1d byla na web pro identifikaci malwaru poprvé nahrána před několika měsíci.

Pro méně zkušené uživatele není kontrola, zda je jejich zařízení infikováno, nijak zvlášť snadná. Doctor Web uvedl, že její antivirový software pro systém Android je schopen odhalit všechny varianty Vo1d a dezinfikuje zařízení, která umožňují přístup s právy root.

Zkušenější uživatelé si také mohou indikátory napadení zkontrolovat pomocí nástroje, který je k dispozici na vývojářské platformě GitHub.

Zdroj: ARS Technica, Doctor Web


Máte k článku připomínku? Napište nám

Sdílet článek

Mohlo by se vám líbit








Všechny nejnovější zprávy

doporučujeme