Tehdit aktörleri, 1,3 milyondan fazla Android TV yayın kutusunu yeni bir Vo1d arka kapı kötü amaçlı yazılımıyla enfekte ederek, saldırganların cihazların tam kontrolünü ele geçirmesine olanak sağladı.
Android TV, Google’ın akıllı televizyonlar ve yayın cihazları için işletim sistemidir. Televizyonlar için optimize edilmiş kullanıcı arayüzü ve uzaktan navigasyon, entegre Google Asistan, dahili Chromecast, canlı TV desteği ve uygulama yükleme olanağı sunar.
İşletim sistemi, TCL, Hisense ve Vizio TV’ler dahil olmak üzere çok sayıda üreticinin akıllı TV özelliklerine güç sağlar. Ayrıca NVIDIA Shield gibi bağımsız TV akışlı medya cihazları için işletim sistemi olarak da işlev görür.
Dr.Web’in yeni raporuna göre araştırmacılar, 200’den fazla ülkede 1,3 milyon cihazın Vo1d adlı kötü amaçlı yazılımla enfekte olduğunu tespit etti. En çok tespit edilen ülkeler Brezilya, Fas, Pakistan, Suudi Arabistan, Rusya, Arjantin, Ekvador, Tunus, Malezya, Cezayir ve Endonezya oldu.
Bu kötü amaçlı yazılım kampanyasında hedef alınan Android TV yazılımları arasında şunlar yer alıyor:
- Android 7.1.2; R4 Yapısı/NHG47K
- Android 12.1; TV BOX Yapısı/NHG47K
- Android 10.1; KJ-SMART4KVIP Yapı/NHG47K
Yüklenen Vo1d kötü amaçlı yazılımının sürümüne bağlı olarak, kampanya şunları değiştirecektir: install-recovery.sh
, daemonsu
veya değiştirin debuggerd
işletim sistemi dosyalarıdır ve bunların hepsi Android TV’de yaygın olarak bulunan başlatma komut dosyalarıdır.
Kötü amaçlı yazılım kampanyası, bu betikleri kalıcılık sağlamak ve önyükleme sırasında Vo1d kötü amaçlı yazılımını başlatmak için kullanır.
Vo1d kötü amaçlı yazılımının kendisi dosyalarda bulunur wd
Ve vo1d
Kötü amaçlı yazılımın ismini aldığı .
“Android. Vo1d’nin temel işlevselliği, birlikte çalışan vo1d (Android.Vo1d.1) ve wd (Android.Vo1d.3) bileşenlerinde gizlidir,” diye açıklıyor Dr.Web.
“Android.Vo1d.1 modülü Android.Vo1d.3’ün başlatılmasından sorumludur ve gerekirse sürecini yeniden başlatarak etkinliğini kontrol eder. Ayrıca, C&C sunucusu tarafından emredildiğinde yürütülebilir dosyaları indirebilir ve çalıştırabilir.”
“Sırasıyla, Android.Vo1d.3 modülü, şifrelenmiş ve gövdesinde saklanan Android.Vo1d.5 daemon’unu yükler ve başlatır. Bu modül ayrıca yürütülebilir dosyaları indirebilir ve çalıştırabilir. Ayrıca, belirtilen dizinleri izler ve bunlarda bulduğu APK dosyalarını yükler.”
Dr.Web, Android TV yayın cihazlarının nasıl tehlikeye atıldığını bilmese de araştırmacılar, bu cihazların genellikle güvenlik açıkları olan güncel olmayan yazılımlar çalıştırdıkları için hedef alındıklarını düşünüyor.
Dr.Web, “Olası bir enfeksiyon vektörü, kök ayrıcalıklarını elde etmek için işletim sistemi açıklarını kullanan bir aracı kötü amaçlı yazılımın saldırısı olabilir” sonucuna varıyor.
“Bir diğer olası vektör, yerleşik kök erişimi olan resmi olmayan aygıt yazılımı sürümlerinin kullanılması olabilir.”
Bu kötü amaçlı yazılımdan kaynaklanan enfeksiyonu önlemek için, Android TV kullanıcılarının yeni aygıt yazılımı güncellemelerini kullanılabilir hale geldikçe kontrol etmeleri ve yüklemeleri önerilir. Ayrıca, bu kutuların uzaktan ifşa edilmiş hizmetler aracılığıyla istismar edilmesi durumunda internetten kaldırdığınızdan emin olun.
Son olarak, Android TV’nize üçüncü taraf sitelerden APK formatında Android uygulamaları yüklemekten kaçının; çünkü bunlar yaygın bir kötü amaçlı yazılım kaynağıdır.
Vo1d kötü amaçlı yazılım kampanyasına ilişkin IOC’lerin listesi Dr. Web’in GitHub sayfasında bulunabilir.