Il malware Vo1d, che ha infettato modelli di Box TV e Smart Tv Android (Sistema Android Tv) obsoleti dotati di vecchie versioni di Android, è stato identificato dalla società antivirus russa Doctor Web .
Vo1d, noto anche come Void, ha il potenziale di installare software di terze parti su dispositivi compromessi senza che l’utente ne sia a conoscenza. Questo malware backdoor opera silenziosamente ed è in grado di scaricare file a comando, diffondendo ulteriormente l’infezione.
Secondo Doctor Web, il malware ha avuto un impatto notevole sugli utenti di paesi come Brasile, Marocco, Pakistan, Arabia Saudita, Argentina, Russia, Tunisia, Ecuador, Malesia, Algeria e Indonesia. Queste nazioni rappresentano la maggior parte dei dispositivi infetti, sebbene l’impatto totale sia globale e la diffusione è stimata nel 33% in tutto il territorio UE.
L’infezione si diffonde su diversi dispositivi Android TV , tra cui:
Versione Android 10.1
Versione R4 (Android 7.1.2)
Box TV (Android 12.1)
Questi dispositivi sono vulnerabili al malware Vo1d, che li infetta sostituendo i file di sistema chiave con versioni dannose e aggiungendo nuovi file eseguibili che facilitano l’infezione.
Vo1d funziona sostituendo il file “/system/bin/debuggerd”, un daemon di sistema principale, rinominando l’originale come “debuggerd_real” per il backup. Il malware aggiunge altri due file, “/system/xbin/vo1d” e “/system/xbin/wd”, che contengono il codice dannoso. Gli autori del malware hanno abilmente camuffato il nome del loro componente come “vo1d”, un gioco di parole sul daemon originale “vold” del sistema sostituendo la “l” con un “1” per renderlo simile.
Una volta installato, Vo1d inizia a funzionare in background, stabilendo una connessione persistente a un server di comando e controllo (C2). Questo server può emettere comandi per scaricare ed eseguire file eseguibili aggiuntivi sui dispositivi compromessi. Il malware monitora anche directory specifiche e installa automaticamente i file APK che rileva, aggiungendoli alle sue capacità di infezione.
In questa fase, il metodo esatto di infezione non è chiaro. Tuttavia, si sospetta che i dispositivi siano stati compromessi tramite vulnerabilità precedenti che hanno consentito agli aggressori di ottenere privilegi di root, oppure che gli utenti possano aver installato un firmware non ufficiale con accesso di root integrato, rendendo più facile l’insediamento del malware.
L’uso di versioni obsolete del sistema operativo Android gioca un ruolo chiave nella vulnerabilità di questi dispositivi. Prima di Android 8.0, i crash di sistema erano gestiti dai daemon “debuggerd”, che il malware sfrutta. Nelle versioni successive, Google ha introdotto “crash_dump32” e “crash_dump64” per gestire i crash, rendendoli meno suscettibili a questo tipo di attacco. Sfortunatamente, molti dispositivi economici eseguono ancora vecchie versioni di Android, rendendoli obiettivi principali per il malware Vo1d.
Abbiamo visto casi simili in passato con varie app e box di streaming infettati , in particolare box “di serie” che eseguono una versione modificata del sistema operativo Android.
Google risponde: nessuna certificazione Play Protect
In risposta alle infezioni da malware Vo1d, Google ha chiarito che i dispositivi infetti non erano certificati Play Protect, il che significa che non sono stati sottoposti ai test ufficiali di sicurezza e compatibilità di Google. Google Play Protect garantisce che i dispositivi soddisfino gli standard di Google per la sicurezza e la protezione degli utenti.
Google ha affermato in una nota:
Questi dispositivi fuori marca scoperti come infetti non erano dispositivi Android certificati Play Protect. Se un dispositivo non è certificato Play Protect, Google non ha una registrazione dei risultati dei test di sicurezza e compatibilità.
L’azienda ha inoltre consigliato agli utenti di verificare se i propri dispositivi sono certificati Play Protect visitando il sito Web ufficiale di Android TV, dove è disponibile un elenco aggiornato dei partner certificati.
Una delle ragioni alla base della diffusione del malware Vo1d è la pratica (anche se non di tutti) dei produttori di dispositivi economici di utilizzare versioni obsolete del sistema operativo. Questi produttori spesso spacciano software più vecchi per versioni più recenti per rendere i loro prodotti più attraenti per i consumatori. Questa pratica, tuttavia, lascia i dispositivi vulnerabili a problemi di sicurezza che sono stati invece affrontati nelle versioni più recenti del sistema operativo Android.
Con versioni software più vecchie e non supportate, questi dispositivi diventano facili bersagli per gli aggressori che sfruttano vulnerabilità note. Il malware Vo1d evidenzia i rischi dell’utilizzo di dispositivi non certificati e l’importanza di rimanere aggiornati con patch di sicurezza e firmware.
Per evitare di cadere vittime di Vo1d o di altri malware, gli utenti dovrebbero:
Riprendi in mano la tua Privacy