Les chercheurs ne connaissent toujours pas la cause d’une infection par un logiciel malveillant récemment découvert, affectant près de 1,3 million d’appareils de streaming exécutant une version open source d’Android dans près de 200 pays.
L’entreprise de sécurité Doctor Web a rapporté jeudi que le malware Android.Vo1d avait réussi à pirater les appareils Android en plaçant des composants malveillants dans leur zone de stockage système, où ils peuvent être mis à jour à tout moment avec des logiciels malveillants supplémentaires par des serveurs de commande et de contrôle. Les représentants de Google ont déclaré que les appareils infectés exécutent des systèmes d’exploitation basés sur Android Open Source Project, une version supervisée par Google mais distincte d’Android TV, une version propriétaire réservée aux fabricants d’appareils sous licence.
Des dizaines de variantes
Bien que Doctor Web ait une compréhension approfondie de Vo1d et de la portée exceptionnelle qu’il a atteinte, les chercheurs de l’entreprise affirment qu’ils n’ont pas encore déterminé le vecteur d’attaque qui a conduit aux infections.
« Pour le moment, la source de l’infection par la porte dérobée des boîtiers TV reste inconnue », indique le message publié jeudi. « Un vecteur d’infection possible pourrait être une attaque par un malware intermédiaire qui exploite les vulnérabilités du système d’exploitation pour obtenir des privilèges root. Un autre vecteur possible pourrait être l’utilisation de versions de firmware non officielles avec accès root intégré. »
Les modèles d’appareils suivants infectés par Vo1d sont :
Modèle de boîtier TV
Version du firmware déclarée
R4
Android 7.1.2 ; version R4/NHG47K
BOÎTE DE TÉLÉVISION
Android 12.1 ; boîtier TV/NHG47K
KJ-SMART4KVIP
Android 10.1 ; version KJ-SMART4KVIP/NHG47K
L’une des causes possibles des infections est que les appareils exécutent des versions obsolètes qui sont vulnérables aux exploits qui exécutent à distance du code malveillant sur eux. Les versions 7.1, 10.1 et 12.1, par exemple, ont été publiées respectivement en 2016, 2019 et 2022. De plus, selon le docteur Web, il n’est pas rare que les fabricants d’appareils à petit budget installent des versions d’OS plus anciennes dans les boîtiers de streaming et les rendent plus attrayantes en les faisant passer pour des modèles plus récents.
De plus, alors que seuls les fabricants d’appareils sous licence sont autorisés à modifier AndroidTV de Google, tout fabricant d’appareils est libre d’apporter des modifications aux versions open source. Cela laisse ouverte la possibilité que les appareils aient été infectés dans la chaîne d’approvisionnement et aient déjà été compromis au moment de leur achat par l’utilisateur final.
« Les appareils infectés ne sont pas des appareils Android certifiés Play Protect », a déclaré Google dans un communiqué. « Si un appareil n’est pas certifié Play Protect, Google ne dispose pas d’un enregistrement des résultats des tests de sécurité et de compatibilité. Les appareils Android certifiés Play Protect sont soumis à des tests approfondis pour garantir la qualité et la sécurité des utilisateurs. »
La déclaration indique que les gens peuvent confirmer qu’un appareil exécute le système d’exploitation Android TV en consultant ce lien et en suivant les étapes répertoriées ici.
Selon le docteur Web, il existe des dizaines de variantes de Vo1d qui utilisent un code différent et implantent des malwares dans des zones de stockage légèrement différentes, mais qui parviennent toutes au même résultat final, à savoir se connecter à un serveur contrôlé par un attaquant et installer un composant final capable d’installer des malwares supplémentaires sur instruction. VirusTotal montre que la plupart des variantes de Vo1d ont été téléchargées pour la première fois sur le site d’identification des malwares il y a plusieurs mois.
Les chercheurs ont écrit :
Tous ces cas impliquaient des signes d’infection similaires, nous les décrirons donc en utilisant l’une des premières demandes que nous avons reçues comme exemple. Les objets suivants ont été modifiés sur le boîtier TV concerné :
installer-recovery.sh
démonsu
De plus, 4 nouveaux fichiers sont apparus dans son système de fichiers :
/système/xbin/vo1d
/système/xbin/wd
/système/bin/debuggerd
/system/bin/debuggerd_real
Le vo1d et wd les fichiers sont les composants du Android.Vo1d cheval de Troie que nous avons découvert.
Les auteurs du cheval de Troie ont probablement essayé de déguiser l’un de ses composants en programme système /system/bin/vold, en l’appelant par un nom similaire « vo1d » (en remplaçant la lettre minuscule « l » par le chiffre « 1 »). Le nom du programme malveillant vient du nom de ce fichier. De plus, cette orthographe est en accord avec le mot anglais « void ».
Le installer-recovery.sh Le fichier est un script présent sur la plupart des appareils Android. Il s’exécute au lancement du système d’exploitation et contient des données permettant d’exécuter automatiquement les éléments qui y sont spécifiés. Si un logiciel malveillant dispose d’un accès root et de la possibilité d’écrire sur le fichier /système répertoire système, il peut s’ancrer dans le périphérique infecté en s’ajoutant à ce script (ou en le créant de toutes pièces s’il n’est pas présent dans le système). Android.Vo1d a enregistré le démarrage automatique pour le wd composant dans ce fichier.
Le fichier install-recovery.sh modifié
Docteur Web
Le démonsu Le fichier est présent sur de nombreux appareils Android avec accès root. Il est lancé par le système d’exploitation au démarrage et est chargé de fournir les privilèges root à l’utilisateur. Android.Vo1d s’est également enregistré dans ce fichier, ayant également configuré le démarrage automatique pour le wd module.
Le débogueur Le fichier est un démon qui est généralement utilisé pour créer des rapports sur les erreurs survenues. Mais lorsque le boîtier TV a été infecté, ce fichier a été remplacé par le script qui lance le wd composant.
Le débogueurd_réel le fichier dans le cas que nous examinons est une copie du script qui a été utilisé pour remplacer le vrai débogueur fichier. Les experts de Doctor Web pensent que les auteurs du cheval de Troie avaient l’intention de copier le fichier original débogueur être emménagé dans débogueurd_réel pour maintenir sa fonctionnalité. Cependant, comme l’infection s’est probablement produite deux fois, le cheval de Troie a déplacé le fichier déjà substitué (c’est-à-dire le script). En conséquence, l’appareil avait deux scripts du cheval de Troie et pas un seul vrai débogueur fichier programme.
Dans le même temps, d’autres utilisateurs qui nous ont contactés avaient une liste de fichiers légèrement différente sur leurs appareils infectés :
débogueur (le même script que celui décrit ci-dessus) ;
débogueurd_réel (le fichier original du débogueur outil);
installer-recovery.sh (un script qui charge les objets qui y sont spécifiés).
Une analyse de tous les fichiers susmentionnés a montré que pour ancrer Android.Vo1d dans le système, ses auteurs ont utilisé au moins trois méthodes différentes : la modification du installer-recovery.sh et démonsu fichiers et substitution des débogueur Ils s’attendaient probablement à ce qu’au moins un des fichiers cibles soit présent dans le système infecté, car la manipulation d’un seul d’entre eux garantirait le lancement automatique réussi du cheval de Troie lors des redémarrages ultérieurs de l’appareil.
Android.Vo1dLa fonctionnalité principale de est cachée dans son vo1d (Android.Vo1d.1) et wd (Android.Vo1d.3) composants qui fonctionnent en tandem. Android.Vo1d.1 le module est responsable de Android.Vo1d.3‘s lance et contrôle son activité, en redémarrant son processus si nécessaire. De plus, il peut télécharger et exécuter des exécutables lorsque le serveur C&C lui en donne l’ordre. À son tour, le Android.Vo1d.3 le module installe et lance le Android.Vo1d.5 démon qui est chiffré et stocké dans son corps. Ce module peut également télécharger et exécuter des exécutables. De plus, il surveille les répertoires spécifiés et installe les fichiers APK qu’il y trouve.
La répartition géographique des infections est large, le plus grand nombre étant détecté au Brésil, au Maroc, au Pakistan, en Arabie saoudite, en Russie, en Argentine, en Équateur, en Tunisie, en Malaisie, en Algérie et en Indonésie.
Agrandir / Une carte du monde répertoriant le nombre d’infections détectées dans différents pays.
Docteur Web
Il n’est pas particulièrement facile pour les personnes moins expérimentées de vérifier si un appareil est infecté, à moins d’installer des scanners de logiciels malveillants. Doctor Web a déclaré que son logiciel antivirus pour Android détectera toutes les variantes de Vo1d et désinfectera les appareils qui offrent un accès root. Les utilisateurs plus expérimentés peuvent vérifier les indicateurs de compromission ici.
