Na velký průšvih, který postihl uživatele androidových TV boxů ve dvou stovkách zemí, upozornili výzkumníci ze společnosti Doctor Web. Malware, který dostal název "Android.Vo1d" a cílí především na streamingové TV boxy, do systémového úložiště zařízení vkládá škodlivé komponenty.
Zneužívá k tomu zranitelnost typu "back door", která se zpravidla týká neošetřených komunikačních portů. Infiltrace škodlivého kódu umožňuje následné řízení anebo ukládání dalšího malwaru prostřednictvím řídících a komunikačních serverů.
Zástupci Googlu k celé věci uvedli, že infikovaná zařízení používají operační systém, založený na projektu Android Open Source, který je pod dohledem společnosti Google. Od proprietární verze Android TV se liší tím, že ta je vyhrazena výrobcům zařízení s licencí.
Desítky možných variant
Zdroj: Kelly Sikkema/Unsplash
Experti z firmy Doctor Web malware Vo1d důkladně znají, a to včetně výjimečného rozšíření, kterého se jeho zneužitím podařilo dosáhnout. Přesto tvrdí, že se jim zatím nepodařilo určit vektor útoku, který k tak rozsáhlým infekcím vedl.
„V tuto chvíli zůstává zdroj infekce typu back door u televizních boxů neznámý,“ uvádí se ve sdělení firmy z minulého týdne. „Jedním z možných vektorů infekce by mohl být útok zprostředkujícího malwaru, který využívá zranitelnosti operačního systému k získání práv root. Dalším možným vektorem by mohlo být použití neoficiálních verzí firmwaru s vestavěným root přístupem.“
Malware Vo1d míří především na následující modely streamovacích boxů:
| Model TV boxu | Deklarovaná verze firmwaru | |
|
|
||
| R4 | Android 7.1.2; R4 Build/NHG47K | |
|
|
||
| TV BOX | Android 12.1; TV BOX Build/NHG47K | |
|
|
||
| KJ-SMART4KVIP | Android 10.1; KJ-SMART4KVIP Build/NHG47K | |
|
|
||
Jednou z možných příčin infekcí je, že v zařízeních jsou používány zastaralé verze Androidu. Ty jsou potom zranitelné vůči exploitům, které na nich vzdáleně spustí škodlivý kód.
Například verze 7.1, 10.1 a 12.1 byly vydány v letech 2016, 2019 a 2022. Podle Doctor Web navíc není neobvyklé, že výrobci levných zařízení instalují do streamovacích boxů starší verze operačního systému, ale vydávají je za aktuálnější modely.
Další problém je, že zatímco Android TV od Googlu mohou upravovat pouze licencovaní výrobci zařízení, verze s otevřeným zdrojovým kódem může měnit de facto každý výrobce. To ponechává otevřený i scénář, kdy zařízení mohla být infikována v dodavatelském řetězci a byla kompromitována již v době, kdy je zakoupil koncový uživatel.
Mohlo by vás zajímat
Google k tomu upřesňuje: „Tato neznačková zařízení, u nichž byla zjištěna infekce, nebyla zařízeními s certifikátem Play Protect. U takových výrobků Google nemá k dispozici záznamy o výsledcích testů zabezpečení a kompatibility.“
V prohlášení Google dále uvádí, že uživatelé si mohou ověřit, zda jejich zařízení používá operační systém Android TV OS, a to kontrolou na stránce Android TV a provedením uvedených kroků.
Doctor Web uvedl, že existují desítky variant Vo1d, které používají různý kód a umisťují malware do mírně odlišných úložišť. Všechny ale dosahují stejného cíle: připojují se k serveru ovládanému útočníkem a instalují finální komponentu, která může na vzdálený pokyn nainstalovat další malware.
Mohlo by vás zajímat
Antivirový agregátor VirusTotal dodává, že většina variant Vo1d byla na web pro identifikaci malwaru poprvé nahrána před několika měsíci.
Pro méně zkušené uživatele není kontrola, zda je jejich zařízení infikováno, nijak zvlášť snadná. Doctor Web uvedl, že její antivirový software pro systém Android je schopen odhalit všechny varianty Vo1d a dezinfikuje zařízení, která umožňují přístup s právy root.
Zkušenější uživatelé si také mohou indikátory napadení zkontrolovat pomocí nástroje, který je k dispozici na vývojářské platformě GitHub.
Zdroj: ARS Technica, Doctor Web
4 foto
