新型 Vo1d 恶意软件感染了 130 万个 Android 流媒体盒

Android 开源项目 (AOSP) 是由 Google 领导的开源操作系统，可用于移动、流媒体和物联网设备。日前，安全研究人员发现威胁者已经用一种新的 Vo1d 后门恶意软件感染了超过 130 万个运行 Android 的电视流媒体盒，从而使攻击者能够完全控制这些设备。

Dr.Web 在一份新报告中表示，研究人员发现，超过 200 个国家/地区有 130 万台设备感染了 Vo1d 恶意软件，其中巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄罗斯、阿根廷、厄瓜多尔、突尼斯、马来西亚、阿尔及利亚和印度尼西亚等国感染数量最多。

受 Vo1d 感染的电视盒的地理分布

此次恶意软件活动所针对的 Android 固件包括：

·Android 7.1.2；

·R4 构建/NHG47K Android 12.1；

·电视盒构建/NHG47K Android 10.1；

·KJ-SMART4KVIP 构建/NHG47K。

根据安装的 Vo1d 恶意软件的版本，该活动将修改 install-recovery.sh、daemonsu，或替换 debuggerd 操作系统文件，这些都是 Android 中常见的启动脚本。

修改 install-recovery.sh 文件

恶意软件活动使用这些脚本来保持持久性并在启动时启动 Vo1d 恶意软件。

Vo1d 恶意软件本身位于 wd 和 vo1d 文件中，该恶意软件以这两个文件命名。Android.Vo1d 的主要功能隐藏在其 vo1d（Android.Vo1d.1）和 wd（Android.Vo1d.3）组件中，这两个组件协同运行。

Android.Vo1d.1 模块负责 Android.Vo1d.3 的启动并控制其活动，必要时重新启动其进程。此外，它还可以在 C&C 服务器发出命令时下载并运行可执行文件。反过来，Android.Vo1d.3 模块会安装并启动加密并存储在其主体中的 Android.Vo1d.5 守护进程。该模块还可以下载并运行可执行文件。此外，它还会监视指定目录并安装在其中找到的 APK 文件。

虽然 Dr.Web 不知道 Android 流媒体设备是如何受到攻击的，但研究人员认为它们之所以成为攻击目标，是因为它们通常运行会存在漏洞的过时软件。

Dr.Web 总结道：“一种可能的感染媒介可能是利用操作系统漏洞获取 root 权限的中间恶意软件的攻击。另一种可能的媒介可能是使用内置 root 访问权限的非官方固件版本。”

为了防止感染此恶意软件，建议 Android 用户在有新固件更新时检查并安装。此外，请务必从互联网上删除这些盒子，以防它们通过暴露的服务被远程利用。同样重要的是，避免在 Android 上安装来自第三方网站的 Android 应用程序作为 APK，因为它们是恶意软件的常见来源。

9月12号最新公告表示，受感染的设备并未运行 Android TV，而是使用 Android 开放源代码项目 (AOSP)。

Google 发言人表示：“这些被发现感染的杂牌设备不是经过 Play Protect 认证的 Android 设备。如果设备未通过 Play Protect 认证，Google 就没有安全性和兼容性测试结果记录。”

目前经过 Play Protect 认证的 Android 设备已经经过测试，以确保质量和用户安全。为了用户确认设备是否采用 Android TV 操作系统和经过 Play Protect 认证， Android TV 网站提供了最新的合作伙伴列表，用户可以按照相应步骤检查设备是否经过 Play Protect 认证。

参考及来源：https://www.bleepingcomputer.com/news/security/new-vo1d-malware-infects-13-million-android-streaming-boxes/