130万台安卓电视盒被植入后门，研究人员仍未找到感染源

感染将运行基于AOSP固件的设备纳入僵尸网络。

研究人员仍未找到最近发现的恶意软件感染源，该感染影响了近200个国家的约130万台运行开源安卓版本的流媒体设备。

安全公司Doctor Web周四报告称，一种名为Android.Vo1d的恶意软件通过在系统存储区域植入恶意组件给这些基于安卓的电视盒植入后门，这些组件可以被命令和控制服务器随时更新为额外的恶意软件。

谷歌代表表示，受感染的设备运行的是基于Android Open Source Project（AOSP）的操作系统，这个版本由谷歌监管，但与仅限授权设备制造商使用的专有版本Android TV不同。多种变种 尽管Doctor Web对Vo1d及其异常广泛的传播有深入了解，但公司研究人员表示，他们尚未确定导致感染的攻击途径。

“目前，电视盒后门感染的来源尚不清楚。”周四的帖子写道。“一种可能的感染途径可能是中间恶意软件通过利用操作系统漏洞获得根权限的攻击。另一种可能的途径可能是使用具有内置根访问权限的非官方固件版本。”以下是被Vo1d感染的设备型号：一种可能的感染原因是这些设备运行的是容易被利用的旧版本，这些旧版本可以远程执行恶意代码。

例如，版本7.1、10.1和12.1分别在2016年、2019年和2022年发布。此外，Doctor Web表示，预算设备制造商安装旧操作系统版本并将其冒充为更新型号是很常见的做法。

此外，虽然只有获得授权的设备制造商才被允许修改谷歌的Android TV，但任何设备制造商都可以随意更改开源版本。

这使得设备在供应链中被感染的可能性增加，最终用户购买时已经被感染。“这些被发现感染的非品牌设备并不是Play Protect认证的安卓设备，”谷歌在声明中表示。“如果设备未获得Play Protect认证，谷歌就没有其安全和兼容性测试结果的记录。

Play Protect认证的安卓设备经过广泛测试以确保质量和用户安全。”声明中说，人们可以通过检查此链接并按照此处列出的步骤来确认设备是否运行Android TV操作系统。

Doctor Web表示，Vo1d有几十种变体，它们使用不同的代码并将恶意软件植入略微不同的存储区域，但都实现了相同的最终结果：连接到攻击者控制的服务器并安装最终组件，该组件可以在接到指令时安装额外的恶意软件。VirusTotal显示，大多数Vo1d变体几个月前首次被上传到恶意软件识别网站。

研究人员写道：所有这些案例都有类似的感染迹象，因此我们将以收到的第一个请求为例进行描述。

受影响的电视盒上更改了以下对象：install-recovery.shdaemonsu 此外，其文件系统中出现了4个新文件：/system/xbin/vo1d /system/xbin/wd /system/bin/debuggerd /system/bin/debuggerd_real vo1d和wd文件是我们发现的Android.Vo1d木马的组件。木马的作者可能试图将其组件之一伪装成系统程序/system/bin/vold，将其称为相似的名字“vo1d”（将小写字母“l”替换为数字“1”）。

恶意程序的名称来源于这个文件的名称。此外，这个拼写与英文单词“void”谐音。install-recovery.sh文件是大多数安卓设备上存在的脚本。它在操作系统启动时运行，包含自动运行指定元素的数据。

如果任何恶意软件具有根访问权限并能够写入/system系统目录，它可以通过将自己添加到此脚本中（或如果系统中不存在则从头创建它）来锚定在感染设备中。Android.Vo1d在此文件中注册了wd组件的自动启动。daemonsu文件存在于许多具有root访问权限的安卓设备上。它由操作系统在启动时加载，负责为用户提供根权限。

Android.Vo1d也将自己注册在此文件中，并设置了wd模块的自动启动。debuggerd文件通常是用于生成错误报告的守护程序。但在电视盒感染时，此文件被替换为启动wd组件的脚本。

在我们审查的案例中，debuggerd_real文件是用于替换实际debuggerd文件的脚本副本。Doctor Web专家认为，木马的作者打算将原始debuggerd移动到debuggerd_real以维护其功能。然而，由于感染可能发生了两次，木马移动了已经替换的文件（即脚本）。结果，设备有两个来自木马的脚本，而没有一个真正的debuggerd程序文件。

同时，其他联系我们的用户的感染设备上有略微不同的文件列表：daemonsu（vo1d文件的类似物——Android.Vo1d.1）；wd（Android.Vo1d.3）；debuggerd（上述相同的脚本）；debuggerd_real（debuggerd工具的原始文件）；install-recovery.sh（加载指定对象的脚本）。

对上述所有文件的分析显示，为了在系统中锚定Android.Vo1d，其作者至少使用了三种不同的方法：修改install-recovery.sh和daemonsu文件，以及替换debuggerd程序。他们可能预计感染系统中至少会存在一个目标文件，因为即使只操纵一个文件也能确保木马在后续设备重启时成功自动启动。Android.Vo1d的主要功能隐藏在其vo1d（Android.Vo1d.1）和wd（Android.Vo1d.3）组件中，这些组件协同工作。Android.Vo1d.1模块负责启动Android.Vo1d.3并控制其活动，必要时重新启动其进程。

此外，它可以在C&C服务器的命令下下载并运行可执行文件。

反过来，Android.Vo1d.3模块安装并启动加密并存储在其体内的Android.Vo1d.5守护程序。该模块还可以下载并运行可执行文件。此外，它监控指定目录并安装在其中找到的APK文件。

感染的地理分布广泛，最大数量检测到的国家包括巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄罗斯、阿根廷、厄瓜多尔、突尼斯、马来西亚、阿尔及利亚和印度尼西亚。对于经验不足的人来说，检查设备是否感染并不容易，除非安装恶意软件扫描器。Doctor Web表示，其安卓防病毒软件将检测所有Vo1d变体，并清除提供根访问权限的设备。更有经验的用户可以在这里查看妥协指标。