近日，有攻擊者使用一種新的 Vo1d 后門惡意軟件感染了 130 余萬(wàn)臺(tái)安卓電視流媒體盒，使得攻擊者能夠完全控制這些設(shè)備。

Android TV是谷歌針對(duì)智能電視和流媒體設(shè)備推出的操作系統(tǒng)，為電視和遠(yuǎn)程導(dǎo)航提供了優(yōu)化的用戶界面，集成了谷歌助手，內(nèi)置Chromecast，支持電視直播，并能安裝應(yīng)用程序。

該操作系統(tǒng)為包括 TCL、海信和 Vizio 電視在內(nèi)的眾多制造商提供智能電視功能。它還是英偉達(dá) Shield 等獨(dú)立電視流媒體設(shè)備的操作系統(tǒng)。

在 Dr.Web 的最新報(bào)告中，研究人員發(fā)現(xiàn)有 200 多個(gè)國(guó)家的 130 萬(wàn)臺(tái)設(shè)備都感染了 Vo1 d 惡意軟件，其中在巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄羅斯、阿根廷、厄瓜多爾、突尼斯、馬來(lái)西亞、阿爾及利亞和印度尼西亞檢測(cè)到的數(shù)量最多。

受 Vo1d 感染電視盒的地理分布，圖源：Dr.Web

在此次惡意軟件活動(dòng)中，被視為目標(biāo)的安卓電視固件包括：

• 安卓 7.1.2；R4 版本/NHG47K
• 安卓 12.1；電視盒版本/NHG47K
• 安卓 10.1；KJ-SMART4KVIP Build/NHG47K

根據(jù)安裝的 Vo1d 惡意軟件版本，該活動(dòng)將修改或替換操作系統(tǒng)文件，所有這些文件都是 Android TV 中常見(jiàn)的啟動(dòng)腳本。install-recovery.shdaemonsudebuggerd

修改后的 install-recovery.sh 文件，圖源：Dr.Web

該惡意軟件活動(dòng)利用這些腳本實(shí)現(xiàn)持久性，并在啟動(dòng)時(shí)激活Vo1d惡意軟件。 Vo1d惡意軟件本身位于文件中，這些文件的名稱就是以該惡意軟件命名的。Dr.Web解釋稱，Android.Vo1d的主要功能隱藏在其vo1d（Android.Vo1d.1）和wd（Android.Vo1d.3）組件中，這兩個(gè)組件協(xié)同工作。

Android.Vo1d.1模塊負(fù)責(zé)啟動(dòng)Android.Vo1d.3并控制其活動(dòng)，必要時(shí)重啟其進(jìn)程。此外，它還可以在C&C服務(wù)器的指令下下載并運(yùn)行可執(zhí)行文件。

Android.Vo1d.3 模塊負(fù)責(zé)安裝并啟動(dòng)加密并存儲(chǔ)在其體內(nèi)的 Android.Vo1d.5 守護(hù)進(jìn)程。該模塊還可以下載并運(yùn)行可執(zhí)行文件。此外，它監(jiān)控指定的目錄，并安裝在其中找到的 APK 文件。

盡管 Dr.Web 尚不清楚 Android 電視流媒體設(shè)備是如何被入侵的，但研究人員認(rèn)為，這些設(shè)備之所以成為攻擊目標(biāo)，是因?yàn)樗鼈兺ǔ＿\(yùn)行著帶有漏洞的過(guò)時(shí)軟件。

Dr.Web 認(rèn)為，其中最有可能的感染途徑或許是中間惡意軟件的攻擊，該軟件利用操作系統(tǒng)漏洞來(lái)獲取 root 權(quán)限。另一個(gè)可能的途徑可能是使用內(nèi)置 root 訪問(wèn)權(quán)限的非官方固件版本。

為了防止這種惡意軟件的感染，建議 Android 電視用戶檢查并安裝新固件更新。同時(shí)確保在它們通過(guò)暴露的服務(wù)被遠(yuǎn)程利用的情況下，將這些設(shè)備從互聯(lián)網(wǎng)上移除。

此外，用戶也應(yīng)避免在 Android 電視上從第三方網(wǎng)站安裝 APK 形式的 Android 應(yīng)用程序，因?yàn)樗鼈兪菒阂廛浖某Ｒ?jiàn)來(lái)源。