研究人员估计,197国用户的近130万台Android电视机上盒感染Android.Vo1d。受害者主要分布在中东、非洲、南美及亚洲。(图片来源/Doctor Web)
研究人员发现超过130万台Android电视机上盒韧体遭到植入后门程式,以用于日后下载恶意程式。
Doctor Web研究人员今年8月在Android电视机上盒上发现这只后门程式,因其变更装置系统档案区被防毒程式侦测曝光,它锁定执行AOSP的电视机上盒韧体档案系统植入后门程式,以便之后攻击者可下令下载和安装第三方软体。研究人员以其植入的元件而命名为Android.Vo1d。
分析显示,Android.Vo1d的模组(vold、wd),功能包括下载与执行C&C伺服器指令要求的执行档、安装加密daemon,还能监测特定目录以安装APK档。研究人员估计,197国用户的近130万台Android电视机上盒遭到感染。受害者主要分布在中东、非洲、南美及亚洲,如巴西、摩洛哥、巴基斯坦、沙乌地阿拉伯、此外也包含俄罗斯、马来西亚及印尼等。
这些区域的受害装置主要是较不知名的Android机上盒,可能是较低价的品牌(R4、TV BOX、KJ-SMART4KVIP)。研究人员推测,较低价品牌用的是经常是较早版本的Android,有漏洞但也未能获得Google支援。虽然有些受害装置执行的是Android 10或12,但也有古早版本如旧Android 7.1的。此外,这些产品的用户也较没有安全意识,会下载第三方App或非官方版韧体,但却没有安装防毒软体。
不过研究人员尚不清楚Android.Vo1d的感染途径。可能路径是滥用旧版Android的漏洞以取得root权限,另一可能是用户从非官方平台下载被植入恶意root存取程式的韧体。
Google澄清,这些市场上执行AOSP(Android Open Source Project)却宣称为Android TV OS装置很多,且上面也有Google App及Play Store,但这些都非经Google授权,因此不会获得Play Protect安全防护。
Google并提供明列授权Android TV软体的机上盒品牌清单,供用户判别是否买到正牌的Android TV装置。