Deze Android TV-boxen zijn geïnfecteerd met Vo1d-malware

Let op Android TV-boxgebruikers! Er is nieuwe malware op de markt. U hoeft zich echter geen zorgen te maken als uw apparaat officieel is gecertificeerd door Play Protect. De malware, bekend als Vo1d, richt zich rechtstreeks op Android-streamingapparaten met oudere versies van de software.

1,3 miljoen Android-streamingboxen geïnfecteerd met Vo1d-malware

Cybersecurity-experts van Dr.Web vonden ongeveer 1,3 miljoen Android-streamingboxen die besmet waren met Vo1d. Deze tv-boxen zijn aanwezig in 197 landen wereldwijd. De lijst met de meest getroffen landen omvat Brazilië, Marokko, Pakistan, Saoedi-Arabië, Argentinië, Rusland, Tunesië, Ecuador, Maleisië, Algerije en Indonesië. De malware is “in staat om in het geheim software van derden te downloaden en te installeren”, aldus het rapport van het Russische virusontwikkelingsteam.

Vo1d maakt gebruik van beveiligingslekken in oudere versies van Android TV die het root-toegang geven. Het is ook aanwezig op sommige apparaten die standaard root-toegang hebben. De malware installeert zichzelf op gevoelige interne opslagpartities, wat het bepaalde privileges geeft. De malware vervangt eerst het daemonbestand “/system/bin/debuggerd”. Vervolgens downloadt het twee geïnfecteerde bestanden en plaatst ze in “/system/xbin/vo1d” en “/system/xbin/wd.”

Geïnfecteerde tv-boxmodellen draaien op Android 7 en ouder

De ontwikkelaars van Vo1d (van onbekende oorsprong) richtten zich rechtstreeks op de volgende Android-streamingapparaten: KJ-SMART4KVIP (Android 10.1; build/NHG47K), R4 (Android 7.1.2; build/NHG47K) en TV BOX (Android 12.1; build/NHG47K).

Vo1d maakt gebruik van een kwetsbaarheid die is gevonden in versies ouder dan Android 8.0. Interessant genoeg bevat de lijst met geïnfecteerde apparaten modellen die naar verluidt nieuwere versies draaien, zoals Android 10 of zelfs Android 12. Dat komt echter doordat bepaalde fabrikanten van goedkope Android TV-boxen de daadwerkelijke onderliggende Android-versie camoufleren om deze te laten lijken op een nieuwere versie, en deze gebruiken als verkooppraatje.

De malware kan niet functioneren op Android 8 of later vanwege een andere aanpak van crashverwerking waarbij de daemons debuggerd en debuggerd64 irrelevant worden. In plaats daarvan worden nieuwe daemons crash_dump32 en crash_dump64 “indien nodig” gespawned, aldus de documentatie van Google. Bovendien wordt de naam van de malware niet willekeurig gekozen. Er is een pad “/system/bin/vold” op oudere versies van Android. Vo1d zou zich in dat pad bevinden, waarbij “vold” wordt vervangen door een bestand met een vergelijkbare naam in een poging detectie te voorkomen.

Apparaten met Play Protect-certificering zijn veilig

Dat gezegd hebbende, bevestigde Google dat de geïnfecteerde apparaten niet Play Protect-gecertificeerd zijn. In plaats daarvan zouden de ontwikkelaars hun toevlucht hebben genomen tot AOSP-code om het besturingssysteem te compileren. De beveiligingssystemen van Google zouden de malware waarschijnlijk hebben gedetecteerd tijdens de beoordeling. Dit is een voorbeeld van de risico’s van het teruggrijpen naar producten van dubieuze oorsprong om wat geld te besparen. Het is cruciaal om voorzichtig te zijn bij het omgaan met apparaten die een internetverbinding hebben en gevoelige persoonlijke gegevens opslaan. Het is dus beter om terug te grijpen naar bekendere producten die minder snel in nieuwsberichten over malware-aanvallen verschijnen.

Thijs Van der Does