Doctor Web afirmó que los hackers utilizaron el malware Android.Vo1d para instalar puertas traseras en los TV boxes, lo que les permitió tomar control total del dispositivo y luego descargar e instalar otras aplicaciones maliciosas más tarde. Estas cajas de TV ejecutan el obsoleto sistema operativo Android.

Es importante destacar que Vo1d no está dirigido a dispositivos que ejecuten Android TV, sino a decodificadores que ejecuten versiones anteriores de Android basadas en el Proyecto de código abierto Android. Android TV solo está disponible para fabricantes de dispositivos con licencia.

android.Vo1d_map_en 640x368.png
Mapa de dispositivos Android TV Box infectados con malware. Foto: Doctor Web

Los expertos de Doctor Web aún no han determinado cómo el hacker instaló la puerta trasera en el televisor. Se especula que pueden haber utilizado malware "man-in-the-middle", explotado vulnerabilidades del sistema operativo para obtener privilegios o utilizado firmware no oficial con el más alto nivel de acceso (root).

Otra posible causa es que el dispositivo esté ejecutando un sistema operativo obsoleto que es vulnerable a vulnerabilidades explotables de forma remota. Por ejemplo, las versiones 7.1, 10.1 y 12.1 se lanzaron en 2016, 2019 y 2022. No es raro que los fabricantes de bajo presupuesto instalen sistemas operativos antiguos en los televisores, pero los disfracen de modelos modernos para atraer a los clientes.

Además, cualquier fabricante puede modificar versiones de código abierto, lo que permite que los dispositivos se infecten con malware en la cadena de suministro de origen y se vean comprometidos antes de llegar a los clientes.

Los representantes de Google confirmaron que los dispositivos con puertas traseras no están certificados para Play Protect. Por lo tanto, Google no dispone de un registro de seguridad ni de resultados de pruebas de compatibilidad.

Los dispositivos Android con certificación Play Protect se someten a pruebas exhaustivas para garantizar la calidad y la seguridad del usuario.

El Doctor Web dijo que hay una docena de variantes de Vo1d que usan códigos diferentes e implantan malware en diferentes áreas de almacenamiento, pero todos tienen el mismo resultado: conectar el dispositivo al servidor C&C del hacker, instalar componentes para luego instalar malware adicional cuando se les ordena.

Los casos están repartidos por todo el mundo, pero están más concentrados en Brasil, Marruecos, Pakistán, Arabia Saudita, Rusia, Argentina, Ecuador, Túnez, Malasia, Argelia e Indonesia.

(Según Forbes)