Gli esperti di Dr.Web hanno individuato oltre 1,3 milioni di streaming box Android infettati con il malware Vo1d. Si tratta di una backdoor che permette ai cybercriminali di prendere il controllo del dispositivo e installare software di terze parti. I dispositivi colpiti sono utilizzati dagli utenti che si trovano in quasi 200 paesi. Ovviamente Google non garantisce la sicurezza di box non certificati, spesso di provenienza cinese.
Attenzione agli streaming box economici
La scoperta è avvenuta nel mese di agosto, grazie all’antivirus di Dr.Web che ha rilevato modifiche al file system della versione di Android installata su tre streaming box: R4 (Android 7.1.2), TV BOX (Android 12.1) e KJ-SMART4KVIP (Android 10.1). In dettaglio sono stati modificati due file (install-recovery.sh
e daemonsu
) e aggiunti quattro file (/system/xbin/vo1d
, /system/xbin/wd
, /system/bin/debuggerd
e /system/bin/debuggerd_real
).
I componenti del malware sono vo1d
e wd
. Il file install-recovery.sh
è uno script Android che contiene un elenco di elementi da caricare all’avvio del sistema operativo. La versione modificata carica anche wd
. Il file daemonsu
assegna a wd
i privilegi root.
Il malware è quindi formato da vari moduli, ad esempio quelli che lanciano i processi e scaricano altri payload dopo aver ricevuto un comando dal server C&C (command and control). Non è tuttavia noto come la backdoor sia arrivata nei dispositivi. Probabilmente sono state sfruttate vecchie vulnerabilità oppure gli utenti hanno installato app infette da terze parti.
Il consiglio principale è installare l’ultimo firmware disponibile, ma spesso i produttori di box economici abbandonano presto i vecchi modelli. È inoltre preferibile scaricare app solo da fonti affidabili. Google ha evidenziato che i dispositivi non eseguono Android TV, ma una versione derivata da AOSP (Android Open Source Project). Non sono quindi certificati e non possono essere protetti con Google Play Protect.