¡Atención usuarios de Android TV Box! Hay nuevo malware por ahí. Sin embargo, no tienes que preocuparte si tu dispositivo está certificado oficialmente por Play Protect. El malware, conocido como Vo1d, apunta directamente a Android dispositivos de transmisión ejecutar versiones anteriores del software.
1,3 millones de cajas de streaming de Android infectadas por el malware Vo1d
Expertos en ciberseguridad de Dr.Web encontró Alrededor de 1,3 millones de cajas de streaming de Android están infectadas con Vo1d. Estas TV Box están presentes en 197 países de todo el mundo. La lista de países más afectados incluye Brasil, Marruecos, Pakistán, Arabia Saudita, Argentina, Rusia, Túnez, Ecuador, Malasia, Argelia e Indonesia. El malware es «capaz de descargar e instalar secretamente software de terceros», según el informe del equipo ruso de desarrollo de virus.
Vo1d aprovecha de agujeros de seguridad en las personas mayores versiones de android TV que le permiten obtener acceso root. También está presente en algunos dispositivos que vienen con el acceso root habilitado de forma predeterminada. El malware se instala en particiones de almacenamiento interno sensibles, lo que le otorga ciertos privilegios. El malware primero reemplaza el archivo demonio “/system/bin/debuggerd”. Luego, descarga dos archivos infectados y los coloca en “/system/xbin/vo1d” y “/system/xbin/wd”.
Los modelos de TV Box infectados ejecutan Android 7 y versiones anteriores
Los desarrolladores de Vo1d (de origen desconocido) se dirigieron directamente a los siguientes dispositivos de transmisión Android: KJ-SMART4KVIP (Android 10.1; build/NHG47K), R4 (Android 7.1.2; build/NHG47K) y TV BOX (Android 12.1; build/NHG47K). ).
Vo1d explota una vulnerabilidad encontrada en versiones anteriores a Android 8.0. Curiosamente, la lista de dispositivos infectados incluye modelos que supuestamente ejecutan versiones más nuevas, como Android 10 o incluso Android 12. Sin embargo, esto se debe a que ciertos fabricantes de cajas de TV Android baratas camuflan la versión subyacente real de Android para que parezca más nueva, usando como argumento de venta.
El malware no puede funcionar en Android 8 o posterior debido a un enfoque diferente de manejo de fallos en el que los demonios debuggerd y debuggerd64 se vuelven irrelevantes. En cambio, los nuevos demonios crash_dump32 y crash_dump64 se generan «según sea necesario», dice la documentación de Google. Además, el nombre del malware no se elige al azar. Hay una ruta «/system/bin/vold» en versiones anteriores de Android. Vo1d residiría en esa ruta, reemplazando “vold” con un archivo con un nombre similar en un intento de evitar la detección.
Los dispositivos con certificación Play Protect son seguros
Dicho esto, Google confirmó que los dispositivos infectados no tienen la certificación Play Protect. En cambio, los desarrolladores habrían recurrido al código AOSP para compilar el sistema operativo. Los sistemas de seguridad de Google probablemente habrían detectado el malware durante la revisión. Este es un ejemplo de los riesgos de recurrir a productos de dudosa procedencia para ahorrar dinero. Es fundamental tener cuidado al tratar con dispositivos que tienen conexión a Internet y almacenan datos personales confidenciales. Por tanto, es mejor recurrir a productos más conocidos y que tengan menos probabilidades de aparecer en noticias sobre ataques de malware.
Fuente: Android Headlines