Attenti a Vo1d, il nuovo malware ha infettato già più di un milione di TV box Android AOSP

Un'ondata di infezioni da malware sta colpendo i dispositivi Android dedicati allo streaming video in diverse parti del mondo. A divulgare i dettagli della minaccia sono stati i ricercatori di sicurezza di Dr.Web, i quali dichiarano che la nuova minaccia informatica si chiama Vo1d e ha già infettato più di 1,3 milioni di box per lo streaming basati sul sistema operativo Android Open Source Project (AOSP).

L'attacco si è velocemente diffuso in oltre 200 paesi, con una concentrazione particolarmente elevata in Brasile, Marocco, Pakistan, Arabia Saudita e Russia. Altre nazioni fortemente colpite includono Argentina, Ecuador, Tunisia, Malesia, Algeria e Indonesia. Al momento in cui scriviamo, non ci sono casi registrati in Italia ma la situazione potrebbe evolversi, come spesso avviene in questi casi. Il malware sfrutta diverse tecniche per garantirsi la persistenza sui dispositivi compromessi: ad esempio vengono modificati o sostituiti file di sistema critici come "install-recovery.sh", "daemon" e "debuggerd", script di avvio comunemente presenti nei sistemi Android, per consentire al malware di attivarsi automaticamente ad ogni riavvio del dispositivo.

V0id, un nuovo malware prende di mira i TV box con Android AOSP

I firmware attualmente presi di mira sono Android 7.1.2 R4 Build/NHG47K; Android 12.1 TV BOX Build/NHG47K e Android 10.1 KJ-SMART4KVIP Build/NHG47K. I componenti principali del malware sono nascosti nei file "vo1d" e "wd", dai quali deriva il nome della minaccia. Questi moduli lavorano in tandem per eseguire le funzionalità malevole: il primo (nello specifico Android.Vo1d.1) implementa la funzionalità principale del malware; il secondo (Android.Vo1d.3) lancia e controlla la sua attività, riavviando il processo se necessario. Può inoltre scaricare ed eseguire file (come ad esempio il daemon Android.Vo1d.5, che è salvato e crittografato al suo interno), quando richiesto dal server C&C che controlla le operazioni.

Sebbene non sia ancora chiaro il metodo esatto di infezione iniziale, i ricercatori ipotizzano due possibili vettori d'attacco. Il primo prevede l'utilizzo di un malware intermedio in grado di sfruttare vulnerabilità del sistema operativo per ottenere privilegi di root; il secondo invece avviene attraverso l'uso di versioni firmware non ufficiali con accesso root già integrato.

Gli esperti sottolineano che i dispositivi di streaming Android sono particolarmente vulnerabili poiché spesso eseguono software obsoleti e gli utenti non si preoccupano di mantenerli aggiornati. Per proteggersi da questa minaccia, gli utenti dovrebbero verificare regolarmente la disponibilità di aggiornamenti firmware e installarli tempestivamente, mentre è consigliabile disconnettere questi dispositivi da internet quando non utilizzati per evitare possibili compromissioni remote attraverso servizi esposti. Un'altra precauzione fondamentale è evitare l'installazione di applicazioni Android da fonti non ufficiali, poiché gli APK provenienti da siti di terze parti rappresentano un comune veicolo di diffusione per i malware.

Google ha chiarito a BleepingComputer che i dispositivi infetti non eseguono la versione ufficiale di Android TV, ma utilizzano versioni personalizzate basate su AOSP. L'azienda ha sottolineato l'importanza di utilizzare dispositivi certificati Play Protect, con cui è difficile incorrere in problematiche di questo tipo poiché vengono sottoposti a rigorosi test di sicurezza e compatibilità