130 萬 Android TV 盒子竟遭 Vo1d 惡意軟件侵襲
安卓電視盒子的用戶們注意啦!出現了新的惡意軟件喲。但是,要是您的設備通過了 Play Protect 的官方認證,那您就不用擔心啦。這種叫做 Vo1d 的惡意軟件呀,直接瞄準了運行舊版本軟件的安卓流媒體設備。
來自 Dr.Web 的網絡安全專家發現了,大概有 130 萬個安卓流媒體盒子被 Vo1d 感染了。這些電視盒子分佈在全球的 197 個國家。受影響最嚴重的國家名單有巴西、摩洛哥、巴基斯坦、沙特阿拉伯、阿根廷、俄羅斯、突尼斯、厄瓜多爾、馬來西亞、阿爾及利亞以及印度尼西亞。根據俄羅斯病毒開發團隊的報告,這個惡意軟件‘能夠偷偷下載和安裝第三方軟件’。
Vo1d 藉助了較舊安卓電視版本中的安全漏洞,從而獲取 root 權限。它還出現在某些默認啓用 root 權限的設備上。該惡意軟件將自身安裝在敏感的內部存儲分區上,這讓它獲得了一定的特權。該惡意軟件首先替換“/system/bin/debuggerd”守護程序文件。然後,它下載兩個被感染的文件,並將它們放置在“/system/xbin/vo1d”和“/system/xbin/wd”中。
Vo1d 開發者(來源不明)直接將以下安卓流媒體設備作爲目標:KJ-SMART4KVIP(安卓 10.1;build/NHG47K)、R4(安卓 7.1.2;build/NHG47K)和 TV BOX(安卓 12.1;build/NHG47K)。
Vo1d 利用了在 Android 8.0 以下版本中發現的一個漏洞。有趣的是,受感染設備的列表中包含了據稱運行較新版本的型號,例如 Android 10 甚至 Android 12。然而,這是因爲某些廉價 Android 電視盒子的製造商掩蓋了實際的底層 Android 版本,讓其看起來像是更新的版本,並將此作爲銷售賣點。
由於採用了不同的崩潰處理方法,惡意軟件無法在 Android 8 或更高版本上運行,在這種方法下,debuggerd 和 debuggerd64 守護進程變得無關緊要。相反,谷歌的文檔稱,會“按需”生成新的 crash_dump32 和 crash_dump64 守護進程。此外,惡意軟件的名稱並非隨機選擇。在較舊版本的 Android 上有一個“/system/bin/vold”路徑。Vo1d 會駐留於該路徑,用一個類似名稱的文件替換“vold”,以試圖避免被檢測到。
話雖如此,谷歌證實受感染的設備未獲得 Play Protect 認證。相反,開發者會採用 AOSP 代碼來編譯操作系統。谷歌的安全系統很可能在審查期間就檢測到了惡意軟件。這是爲了省錢而求助於來源不明產品所帶來風險的一個例子。在處理具有聯網功能且存儲敏感個人數據的設備時,保持謹慎至關重要。因此,最好求助於更知名的產品,這些產品不太可能出現在 有關惡意軟件攻擊的新聞報道 中。