Android TV Box, televizyonunuza bağlanan ve çok çeşitli çevrimiçi içeriklere, uygulamalara ve hizmetlere erişmenizi sağlayan küçük bir cihazdır.
Akıllı telefonlar ve tabletlere benzer şekilde Android işletim sistemiyle çalışır ve doğrudan televizyonunuzda içerik gezinmek ve yayınlamak için kullanıcı dostu bir arayüz sunar.
Dr. Web’deki siber güvenlik analistleri yakın zamanda, Ağustos 2024’te, 1,3 milyondan fazla Android TV Kutusu’nun Android.Vo1d kötü amaçlı yazılımı tarafından ele geçirildiğini keşfetti.
1,3 Milyon Android TV Kutusu Ele Geçirildi
Android.Vo1d, 197 ülkede yaklaşık 1,3 milyon Android tabanlı TV kutusunu etkiledi.
Bu arka kapı trojan’ı, tespit edilmekten kaçınmak ve kalıcılık sağlamak için gelişmiş teknikler kullanır. Sistem depolama alanına sızar ve install-recovery.sh ve daemonsu gibi önemli dosyaları değiştirir.
Kötü amaçlı yazılım cihazın dosya sisteminde dört yeni dosya oluşturuyor ve aşağıda bunlardan bahsediyoruz:
- /sistem/xbin/vo1d
- /sistem/xbin/wd
- /sistem/bin/debuggerd
- /sistem/bin/debuggerd_real
Android.Vo1d’nin bileşenleri olan “vo1d” ve “wd”, meşru sistem süreçlerini taklit edecek şekilde akıllıca gizlenmiştir.
Truva atı, install-recovery.sh betiğini değiştirmek için kök erişimini kullanır ve sistem başlangıcında otomatik olarak çalışmasını sağlar. Bu, kötü amaçlı yazılımın operatörleri tarafından talimat verildiğinde gizlice ek kötü amaçlı yazılımları indirmesini ve yüklemesini sağlar.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Aşağıda etkilenen tüm modelleri belirttik:
- R4 (Beyan edilen donanım yazılımı sürümü – Android 7.1.2; R4 Build/NHG47K)
- TV BOX (Açıklanan ürün yazılımı sürümü – Android 12.1; TV BOX Build/NHG47K)
- KJ-SMART4KVIP (Beyan edilen ürün yazılımı sürümü – Android 10.1; KJ-SMART4KVIP Yapı/NHG47K)
“Vo1d” adı kendi başına akıllıca bir karartmadır, “vold”daki küçük harf “l”yi değiştirir ve meşru bir Android sistem işlemidir. Bunun dışında, “1” rakamı onu görsel olarak İngilizce “void” kelimesine benzetir.
Bu karmaşık enfeksiyon stratejisi, geleneksel akıllı telefonların ötesinde akıllı cihazları hedef alan mobil kötü amaçlı yazılımların giderek daha karmaşık hale geldiğini ortaya koyuyor.
Android.Vo1d, özellikle Android 7.1 gibi eski sürümleri hedef alarak Android cihazlarda kök erişimini istismar ediyor.
Sistem dosyalarını değiştirerek birden fazla kalıcılık yöntemi kullanır ve bileşenleri şunlardır:
- Android.Vo1d.1 (vo1d dosyası): Komuta ve Kontrol (C&C) sunucusundan faaliyetleri yönetir ve yürütülebilir dosyaları indirir.
- Android.Vo1d.3 (wd modülü): Şifrelenmiş Android.Vo1d.5 daemon’ını yükler ve başlatır, dizinleri izler ve APK dosyalarını yükler.
- Android.Vo1d.5: Ek işlevsellik sağlar.
Dr. Web, tüm bu bileşenlerin kök ayrıcalıkları için daemonsu dosyasını kullandığını ve wd bileşenini başlatmak için bir betikle değiştirerek debuggerd daemon’unu yönlendirdiğini söyledi.
Kötü amaçlı yazılım ayrıca otomatik başlatmayı sağlamak için install-recovery.sh betiğini de değiştiriyor. Android.Vo1d’nin yayılması, güncel olmayan Android sürümleri ve kullanıcıların TV kutusu güvenliği hakkındaki yanılgıları tarafından kolaylaştırıldı.
Bu kötü amaçlı yazılımın coğrafi dağılımı Brezilya, Fas, Pakistan, Suudi Arabistan, Rusya, Arjantin, Ekvador, Tunus, Malezya, Cezayir ve Endonezya’yı içerir. Kesin enfeksiyon kaynağı ise henüz bilinmemektedir.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin