Uzmanību Android TV kastes lietotāji! Ir jauna ļaunprātīga programmatūra. Tomēr jums nav jāuztraucas, ja jūsu ierīce ir oficiāli sertificēta Play Protect. Ļaunprātīga programmatūra, kas pazīstama kā Vo1d, ir tieši vērsta uz Android straumēšanas ierīcēm, kurās darbojas vecākas programmatūras versijas.
1,3 miljoni Android straumēšanas kastīšu, kas inficēti ar Vo1d ļaunprātīgu programmatūru
Dr.Web kiberdrošības eksperti atklāja aptuveni 1,3 miljonus Android straumēšanas kastīšu, kas inficēti ar Vo1d. Šīs TV kastes ir pieejamas 197 valstīs visā pasaulē. Visvairāk skarto valstu sarakstā ir Brazīlija, Maroka, Pakistāna, Saūda Arābija, Argentīna, Krievija, Tunisija, Ekvadora, Malaizija, Alžīrija un Indonēzija. Ļaunprātīga programmatūra “var slepeni lejupielādēt un instalēt trešās puses programmatūru”, teikts Krievijas vīrusu izstrādes komandas ziņojumā.
Vo1d izmanto vecāku Android TV versiju drošības caurumus, kas ļauj iegūt root piekļuvi. Tas ir pieejams arī dažās ierīcēs, kurām pēc noklusējuma ir iespējota root piekļuve. Ļaunprātīga programmatūra tiek instalēta sensitīvos iekšējās krātuves nodalījumos, kas tai piešķir noteiktas privilēģijas. Ļaunprātīga programmatūra vispirms aizstāj dēmona failu “/system/bin/debuggerd”. Pēc tam tas lejupielādē divus inficētos failus un ievieto tos mapēs “/system/xbin/vo1d” un “/system/xbin/wd”.
Inficētajos televizoru kastīšu modeļos darbojas operētājsistēma Android 7 un vecākas versijas
Vo1d izstrādātāji (nezināmas izcelsmes) mērķēja tieši uz šādām Android straumēšanas ierīcēm: KJ-SMART4KVIP (Android 10.1; build/NHG47K), R4 (Android 7.1.2; build/NHG47K) un TV BOX (Android 12.1; build/NHG47K). ).
Vo1d izmanto ievainojamību, kas atrodama versijās, kas vecākas par Android 8.0. Interesanti, ka inficēto ierīču sarakstā ir iekļauti modeļi, kuros, iespējams, darbojas jaunākas versijas, piemēram, Android 10 vai pat Android 12. Tomēr tas ir tāpēc, ka daži lētu Android TV kastīšu ražotāji maskē faktisko pamatā esošo Android versiju, lai tā izskatītos kā jaunāka, izmantojot to kā pārdošanas piķi.
Ļaunprātīga programmatūra nevar darboties operētājsistēmā Android 8 vai jaunākā versijā, jo ir atšķirīga avāriju apstrādes pieeja, kurā atkļūdotāja un atkļūdotāja64 dēmoni kļūst nenozīmīgi. Tā vietā jauni crash_dump32 un crash_dump64 dēmoni tiek radīti “pēc vajadzības”, teikts Google dokumentācijā. Turklāt ļaunprātīgas programmatūras nosaukums nav izvēlēts nejauši. Vecākajās Android versijās ir ceļš “/system/bin/vold”. Vo1d atrastos šajā ceļā, aizstājot “vold” ar līdzīga nosaukuma failu, lai izvairītos no atklāšanas.
Ierīces ar Play Protect sertifikātu ir drošas
Tomēr Google apstiprināja, ka inficētajām ierīcēm nav Play Protect sertifikāta. Tā vietā izstrādātāji būtu izmantojuši AOSP kodu, lai apkopotu OS. Pārskatīšanas laikā Google drošības sistēmas, visticamāk, būtu atklājušas ļaunprātīgu programmatūru. Šis ir piemērs riskiem, kas saistīti ar apšaubāmas izcelsmes produktiem, lai ietaupītu naudu. Ir ļoti svarīgi ievērot piesardzību, strādājot ar ierīcēm, kurām ir interneta savienojums un kurās tiek glabāti sensitīvi personas dati. Tāpēc labāk ir ķerties pie pazīstamākiem produktiem, kas, visticamāk, mazāk parādīsies ziņās par ļaunprātīgas programmatūras uzbrukumiem.
