超百万安卓机顶盒被“空白”
2024年9月12日
2024年8月,有几个用户因Dr.Web反病毒软件在其设备上侦测到系统文件区域发生变化联系了我公司技术支持。侦测到系统文件区域发生变化的机型是:
| 电视机顶盒机型 | 厂家声明的系统版本 |
|---|---|
| R4 | Android 7.1.2; R4 Build/NHG47K |
| TV BOX | Android 12.1; TV BOX Build/NHG47K |
| KJ-SMART4KVIP | Android 10.1; KJ-SMART4KVIP Build/NHG47K |
不同机型的感染迹象相似,在此仅以最早侦测到的一例来加以介绍。木马更改了机顶盒的以下对象:
- install-recovery.sh
- daemonsu
此外,文件系统中出现了4个新文件:
- /system/xbin/vo1d
- /system/xbin/wd
- /system/bin/debuggerd
- /system/bin/debuggerd_real
文件vo1d和wd—就是我们所发现的木马Android.Vo1d的组件。
该木马的编写者使用“vo1d”命名木马组件的原因可能是试图将其伪装成系统程序/system/bin/vold。该恶意软件也由此文件名称而得名(将小写字母“l”替换为数字“1”)。此外,这个拼写与“void”(英文“空白”一词)相近。
文件install-recovery.sh是大多数安装设备都有的一个脚本,在操作系统启动时启动,包含指定元素自动运行的数据。如果恶意软件具有root访问权限并且能够写入系统目录/system,那么恶意软件就可以将自身添加到此脚本(或者创建一个包含自身的脚本),这样就可在被感染设备立足)。Android.Vo1d写入脚本的是自动启动组件wd。
被修改后的文件install-recovery.sh
文件daemonsu存在于许多有root权限的安装设备上,由系统启动,负责向用户打开root权限。Android.Vo1d在此文件中进行了注册自身,同时设置了自动启动模块wd。
文件debuggerd通常是一个用于生成错误报告的守护进程,但在被感染机顶盒,这个文件已被替换为启动组件wd的脚本。
本例中脚本副本文件debuggerd_real替换的原文件是debuggerd。我公司专家认为,木马编写者的意图是将原文件debuggerd移至debuggerd_real并保持运行功能。然而,感染可能发生了两次,木马移至此路径的是脚本副本,结果造成设备上出现了两个木马脚本,真正的程序文件debuggerd已不复存在。
联系我公司技术的其他用户被感染的设备上的文件列表略有不同:
- daemonsu( 类似文件vo1d—Android.Vo1d.1);
- wd(Android.Vo1d.3);
- debuggerd( 与前面介绍的脚本类似);
- debuggerd_real( debuggerd工具的原文件);
- install-recovery.sh( 用于加载自身所含对象的脚本).
对所有这些文件进行研究后我们看到,木马编写者将Android.Vo1d植入系统至少使用了三种不同的方法:修改文件install-recovery.sh和daemonsu,以及替换程序debuggerd。这样,只要系统中存在一个目标文件,就可以达到后续设备重新启动时自动运行木马的目的。
Android.Vo1d的主要功能隐藏在两个协同运行的组件vo1d(Android.Vo1d.1)和wd(Android.Vo1d.3)中。Android.Vo1d.1模块负责启动Android.Vo1d.3并监控其活动,必要时会重新启动进程。此外,根据控制服务器的命令,此模块还能下载并运行可执行文件。而Android.Vo1d.3模块安装到设备并启动其主体中加密的守护进程(Android.Vo1d.5),这一守护进程也具备下载和启动可执行文件的功能,此外,还会跟踪指定目录中是否出现应用程序的APK文件,出现后便会将其安装到设备。
我公司病毒分析师进行调查表明,感染Android.Vo1d后门的设备约达1,300,000台,分布在近200个国家,其中巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄罗斯、阿根廷、厄瓜多尔、突尼斯、马来西亚、阿尔及利亚和印度尼西亚发现了较多的感染病例。
感染设备数量最多的国家
传播Android.Vo1d的攻击者选择电视机顶盒作为目标的一个可能原因是此类设备通常操作系统是陈旧的安卓版本上,这些版本没有修复漏洞,并且厂家不再提供更新。例如,联系我们的用户的设备的系统是Android7.1,虽然一些用户设备表明的是更新的版本Android10和Android12。对于低档产品来说,厂商的这种做法并不罕见:设备实际使用的是老版本操作系统,为吸引买家而声称是较高版本。
此外,用户经常会错误地将机顶盒视为比智能手机安全的设备。因此,不太可能为机顶盒安装反病毒软件,在下载第三方应用程序或安装非官方固件时便会面临遭遇恶意软件的风险。
目前,此次机顶盒后门感染的源头尚不清楚。一种可能的媒介可能是中介恶意软件利用操作系统漏洞获取了root权限,另一种可能是使用了具有root访问权限的非官方固件版本。
Dr.Web Security Space移动设备保护产品能够侦测Android.Vo1d木马的所有已知变种,在具备root访问权限的情况下能够对感染的设备进行清除
Android.Vo1d.1更多详情
Android.Vo1d.3更多详情
Android.Vo1d.5更多详情
点评
转发
![[VK]](http://st.drweb.cn/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.cn/static/new-www/social/no_radius/twitter.png)
点赞
![[facebook]](http://st.drweb.cn/static/new-www/social/no_radius/facebook.png)
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments