Attenti a Vo1d, il nuovo malware ha infettato già più di un milione di TV box Android AOSP
Un nuovo malware chiamato Vo1d ha infettato oltre 1,3 milioni di box per lo streaming basati su Android in più di 200 paesi. La minaccia consente agli aggressori di prendere il controllo completo dei dispositivi compromessi.
di Nino Grasso pubblicata il 13 Settembre 2024, alle 12:31 nel canale Audio VideoAndroidGoogle
Un'ondata di infezioni da malware sta colpendo i dispositivi Android dedicati allo streaming video in diverse parti del mondo. A divulgare i dettagli della minaccia sono stati i ricercatori di sicurezza di Dr.Web, i quali dichiarano che la nuova minaccia informatica si chiama Vo1d e ha già infettato più di 1,3 milioni di box per lo streaming basati sul sistema operativo Android Open Source Project (AOSP).
L'attacco si è velocemente diffuso in oltre 200 paesi, con una concentrazione particolarmente elevata in Brasile, Marocco, Pakistan, Arabia Saudita e Russia. Altre nazioni fortemente colpite includono Argentina, Ecuador, Tunisia, Malesia, Algeria e Indonesia. Al momento in cui scriviamo, non ci sono casi registrati in Italia ma la situazione potrebbe evolversi, come spesso avviene in questi casi. Il malware sfrutta diverse tecniche per garantirsi la persistenza sui dispositivi compromessi: ad esempio vengono modificati o sostituiti file di sistema critici come "install-recovery.sh", "daemon" e "debuggerd", script di avvio comunemente presenti nei sistemi Android, per consentire al malware di attivarsi automaticamente ad ogni riavvio del dispositivo.
V0id, un nuovo malware prende di mira i TV box con Android AOSP
I firmware attualmente presi di mira sono Android 7.1.2 R4 Build/NHG47K; Android 12.1 TV BOX Build/NHG47K e Android 10.1 KJ-SMART4KVIP Build/NHG47K. I componenti principali del malware sono nascosti nei file "vo1d" e "wd", dai quali deriva il nome della minaccia. Questi moduli lavorano in tandem per eseguire le funzionalità malevole: il primo (nello specifico Android.Vo1d.1) implementa la funzionalità principale del malware; il secondo (Android.Vo1d.3) lancia e controlla la sua attività, riavviando il processo se necessario. Può inoltre scaricare ed eseguire file (come ad esempio il daemon Android.Vo1d.5, che è salvato e crittografato al suo interno), quando richiesto dal server C&C che controlla le operazioni.
Sebbene non sia ancora chiaro il metodo esatto di infezione iniziale, i ricercatori ipotizzano due possibili vettori d'attacco. Il primo prevede l'utilizzo di un malware intermedio in grado di sfruttare vulnerabilità del sistema operativo per ottenere privilegi di root; il secondo invece avviene attraverso l'uso di versioni firmware non ufficiali con accesso root già integrato.
Gli esperti sottolineano che i dispositivi di streaming Android sono particolarmente vulnerabili poiché spesso eseguono software obsoleti e gli utenti non si preoccupano di mantenerli aggiornati. Per proteggersi da questa minaccia, gli utenti dovrebbero verificare regolarmente la disponibilità di aggiornamenti firmware e installarli tempestivamente, mentre è consigliabile disconnettere questi dispositivi da internet quando non utilizzati per evitare possibili compromissioni remote attraverso servizi esposti. Un'altra precauzione fondamentale è evitare l'installazione di applicazioni Android da fonti non ufficiali, poiché gli APK provenienti da siti di terze parti rappresentano un comune veicolo di diffusione per i malware.
Google ha chiarito a BleepingComputer che i dispositivi infetti non eseguono la versione ufficiale di Android TV, ma utilizzano versioni personalizzate basate su AOSP. L'azienda ha sottolineato l'importanza di utilizzare dispositivi certificati Play Protect, con cui è difficile incorrere in problematiche di questo tipo poiché vengono sottoposti a rigorosi test di sicurezza e compatibilità
6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoAh, adesso la colpa sarebbe degli utenti...
Ma se sono i produttori che non rilasciano aggiornamenti neanche a pagarli...
Ma se sono i produttori che non rilasciano aggiornamenti neanche a pagarli...
Bè per i tv box da 20 euro, sei già fortunato se funzionano...
Se prendi quelli da 200 euro, un pochino di supporto te lo danno.
Se prendi quelli da 200 euro, un pochino di supporto te lo danno.
Sì, ma presumo la stragrande maggioranza di utenti non acquisti tv box da 200€...
Inoltre, se si parla di AOSP, credo ci si riferisca appunto ai box più economici.
Inoltre, se si parla di AOSP, credo ci si riferisca appunto ai box più economici.
Assolutamente !
Come diceva zbear, prendono gli allwinner che li vendono a peso.
Ma se sono i produttori che non rilasciano aggiornamenti neanche a pagarli...
Già! di tutti i tvbox che ho installato ce ne fosse uno che hai mai rilasciato un aggiornamento.
Inoltre sono rottati di fabbrica, senza bisogno di far nulla, senza nessun vincolo per le app come almeno fa magisk.
Ecco perchè i malware si diffondono facilmente.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".