В компании «Доктор Веб» заявили, что хакеры использовали вредоносное ПО Android.Vo1d для установки бэкдоров на ТВ-приставки, что позволяло им получить полный контроль над устройством, а затем загружать и устанавливать другие вредоносные приложения. Эти ТВ-приставки работают на устаревшей операционной системе Android.

Важно отметить, что Vo1d нацелен не на устройства под управлением Android TV, а на телевизионные приставки под управлением старых версий Android на основе Android Open Source Project. Android TV доступен только лицензированным производителям устройств.

android.Vo1d_map_ru 640x368.png
Карта Android TV-приставок, зараженных вредоносным ПО. Фото: Доктор Веб

Эксперты «Доктор Веб» пока не установили, каким образом хакер установил бэкдор на ТВ-приставку. Они предполагают, что они могли использовать вредоносное ПО типа «man-in-the-middle», эксплуатировать уязвимости операционной системы для получения привилегий или использовать неофициальную прошивку с наивысшим уровнем доступа (root).

Другая возможная причина — устройство работает под управлением устаревшей операционной системы, уязвимой для удаленной эксплуатации. Например, версии 7.1, 10.1 и 12.1 были выпущены в 2016, 2019 и 2022 годах. Нередко бюджетные производители устанавливают в ТВ-приставки старые операционные системы, но маскируют их под современные модели, чтобы привлечь покупателей.

Кроме того, любой производитель может модифицировать версии с открытым исходным кодом, что позволяет заражать устройства вредоносным ПО в исходной цепочке поставок и скомпрометировать их до того, как они попадут к потребителям.

Представители Google подтвердили, что устройства, на которых обнаружены бэкдоры, не сертифицированы Play Protect. Таким образом, у Google нет записей о безопасности и результатов тестов на совместимость.

Устройства Android, сертифицированные Play Protect, проходят тщательное тестирование для обеспечения качества и безопасности пользователей.

По данным компании Doctor Web, существует около десятка вариантов Vo1d, которые используют разные коды и внедряют вредоносное ПО в разные области хранения данных, но все они имеют один и тот же результат: подключение устройства к командному серверу хакера, установка компонентов для последующей установки дополнительного вредоносного ПО по команде.

Случаи заболевания распространены по всему миру, но больше всего их в Бразилии, Марокко, Пакистане, Саудовской Аравии, России, Аргентине, Эквадоре, Тунисе, Малайзии, Алжире и Индонезии.

(По данным Форбс)