Sicherheitsforscher von Doctor Web sind auf eine Malware mit dem Namen Android.Vo1d gestoßen. Die Malware hat ca. 1,3 Millionen TV-Boxen, die als Betriebssystem auf dem Android Open Source Project (AOSP) aufsetzen, infiziert. Die Infektionen betreffen TV-Geräte in fast 200 Ländern, und diese bilden nun ein Botnet.
Im August 2024 wurde Doctor Web von mehreren Anwendern kontaktiert, deren Dr.Web-Antivirus Änderungen im Systemdateienbereich ihres Geräts festgestellt hatte. Das Problem trat bei diesen Modellen auf:
| R4 | Android 7.1.2; R4 Build/NHG47K |
| TV BOX | Android 12.1; TV BOX Build/NHG47K |
| KJ-SMART4KVIP | Android 10.1; KJ-SMART4KVIP Build/NHG47K |
Alle diese Fälle wiesen ähnliche Anzeichen einer Infektion auf, und Dr. Web beschreibt in diesem Artikel die Details. So werden auf den Geräten die Objekte:
- install-recovery.sh
- daemonsu
geändert. Die Datei install-recovery.sh ist ein Skript, das auf den meisten Android-Geräten vorhanden ist. Es wird beim Start des Betriebssystems ausgeführt und enthält Daten zur automatischen Ausführung der darin angegebenen Elemente.
Verfügt eine Malware über Root-Zugriff und die Fähigkeit, in das Systemverzeichnis /system zu schreiben, kann sie sich auf dem infizierten Gerät verankern, indem sie sich selbst zu diesem Skript hinzufügt (oder es von Grund auf neu erstellt, wenn es nicht im System vorhanden ist). Außerdem tauchten 4 neue Dateien im Dateisystem der Android-Boxen auf:
- system/xbin/vo1d
- /system/xbin/wd
- /system/bin/debuggerd
- /system/bin/debuggerd_real
Die Autoren des Trojaners haben wahrscheinlich versucht, so die Vermutung der Sicherheitsforscher, eine seiner Komponenten als das Systemprogramm /system/bin/vold zu tarnen, Der ähnlich aussehende Name „vo1d“ weist darauf hin (wobei sie den Kleinbuchstaben „l“ durch die Zahl „1“ ersetzt haben). Der Name des bösartigen Programms leitet sich aus dem Namen dieser Datei ab. Außerdem ist diese Schreibweise konsonant mit dem englischen Wort „void“. Android.Vo1d enthält den Autostart für die Komponente wd in dieser Datei registriert.
Eine von den Malware-Analysten von Doctor Web durchgeführte Studie ergab, dass die Android.Vo1d-Backdoor rund 1,3 Millionen Geräte infiziert hat, während ihre geografische Verbreitung fast 200 Länder umfasst. Die meisten Infektionen wurden in Brasilien, Marokko, Pakistan, Saudi-Arabien, Russland, Argentinien, Ecuador, Tunesien, Malaysia, Algerien und Indonesien festgestellt.
Ein möglicher Grund, warum die Angreifer, die Android.Vo1d verbreiten, speziell TV-Boxen ausgewählt haben, ist, dass solche Geräte oft mit veralteten Android-Versionen laufen, die ungepatchte Sicherheitslücken aufweisen und nicht mehr mit Updates unterstützt werden.
Die Nutzer, die Dr. Web kontaktiert haben, besitzen beispielsweise Modelle, die auf Android 7.1 basieren, obwohl die Konfiguration bei einigen von ihnen auf viel neuere Versionen wie Android 10 und Android 12 hinweist. Leider ist es nicht ungewöhnlich, dass Hersteller von Billiggeräten ältere Betriebssystemversionen verwenden und sie als aktuellere Versionen ausgeben, um sie attraktiver zu machen.
Darüber hinaus nehmen die Nutzer selbst TV-Boxen fälschlicherweise als besser geschützte Geräte als Smartphones wahr. Infolgedessen installieren sie möglicherweise seltener Antiviren-Software (vermutet Dr. Web) auf diesen Geräten und riskieren, beim Herunterladen von Drittanbieter-Apps oder beim Installieren inoffizieller Firmware auf Malware zu stoßen.
Im Moment ist die Quelle der Backdoor-Infektion der TV-Boxen noch unbekannt. Ein möglicher Infektionsvektor könnte ein Angriff durch eine zwischengeschaltete Malware sein, die Schwachstellen des Betriebssystems ausnutzt, um Root-Rechte zu erlangen. Ein anderer möglicher Vektor könnte die Verwendung inoffizieller Firmware-Versionen mit integriertem Root-Zugriff sein.
Aber heißt es nicht 1,3 Mio Geräte infiziert?
Dann sind Custom-firmware Geräte raus.
So viele Leute machen das nicht.
Eher noch eine malware App.
Bei der Menge muss es ein Angriff auf die Firmware/Android direkt geben. Gibt es nicht genügend Lücken die für alte Android-Versionen dokumentiert sind um sie zu hacken?
Die entscheidende Frage ist wie die Installation der Malware, also der Initial-Access funktioniert? Normalerweise ist ein Gerät im Heimnetz ja erstmal nicht aus dem Internet zu erreichen. Dafür müsste es ein Port-Forwarding geben, welches auf dem Router konfiguriert wurde.
Denkbar wäre hier eine UPnP-Portweiterleitung. Das setzt aber voraus, dass die Box diese Freigabe schon vor der Infektion einrichtet und dass der Router solche Anfragen auch akzeptiert und umsetzt. Hier wäre quasi gleich 2x im Sinne der Sicherheit geschlampt worden. Das 1,3 Millionen Personen das selber bewusst konfiguriert haben, halte ich ehr für unwahrscheinlich.
Andere Optionen wären ein Hack der Update-Server so dass Malware durch den Hersteller ausgeliefert wurde oder eben eine App aus externen Quellen welche die Infektion mitliefert. Lockt man die Leute mit Gratis-Streaming von Netflix, Amazon, Disney und Co, dann könnte ich mir vorstellen, dass einige alle Vorsicht über Bord werfen.
Eigentlich schade, dass man in solchen Fällen meist nie die sehr spannenden Hintergründe erfährt.
Solche Hintergründe detailliert erklärt könnten vielleicht die Bevölkerung verunsichern und ungewünschte Ablehnung gegen all die tollen neuen smarten Gerätschaften überall erzeugen?
Naja, Werbung ist es sichlich nicht, wenn eine siebenstellige Anzahl in Drohnen eines Botnetzes verwandelt wird. ;-)
Das ist doch ganz einfach. Da läuft auf dem Gerät ein Script/Prozess im Hintergrund, welches auf einem Server im Internet nachsieht („Polling“), ob es da eine Aufgabe gibt, die es ausführen soll, z.B. was per wget runter zu laden und auszuführen. Dazu wird kein Portforwarding (per uPNP) benötigt.
Die Frage, die sich mir eher stellt, ist, welchen Schaden kann das Ding für den Nutzer des Geräts anrichten? Google/Amazon/…/wasweisich Accounts abgreifen, lokales Netz durchsuchen und mittels gefundener Schwachstellen weitere Systeme angreifen, oder wird das Teil „nur“ Teil eines Botnetzes? Alles möglich.
Und wie kommt dieses Skript vor der Attacke auf die Geräte? Das ein bereits infiziertes Geräte einen C&C Server kontaktieren kann ist mir klar. Die Frage ist: Wie werden die Geräte initial kompromittiert? Die genau ist der Infektionsweg?
Interessante Geschichte, aber nirgends steht, zu welchem Zweck die Infektion erfolgte.
Das könnte man z.B. für DDoS-Angriffe nutzen.
Dafür werden Smart- und IoT-Geräte gerne hergenommen, denn die sind i.d.R. 24/7 online.
Oder man nutzt die, um Cryptos zu schürfen.
Die Rechenleistung derartiger Geräte ist zwar klein, aber die Masse macht es dann.
Dafür gibt es genug Möglichkeiten. Häufig sind Betriebssysteme und Browser auf diesen Geräten hoffnungslos veraltet.
Mit der Internetseite „What is my browser“ kann man prüfen welcher Browserversion (User Agent) genutzt ist.
Auf dem Panasonic TV der Modellgeneration 2018 ist Linux mit Chrome 52 als Browser Installiert. Die neuste Firmware Version vom 18 Juli 2023 in der Version 3.065 ist Installiert.
Seit dem letzten Update der „Meteo News App“ gibt es Darstellungsprobleme beim Wetter. Die App skaliert nicht mehr auf Vollbild.
Wahrscheinlich ist Chrome 52 dafür die Ursache.
Mal schauen wie lange der TV noch Smart ist?
Google hat sich dazu gemeldet.
Google sagt, dass es sich bei den betroffenen Geräten ausschließlich um Android-TV-Boxen mit AOSP handele.
AOSP habe nichts mit dem proprietären Betriebssystem für Android-Fernseher, Android TV, zu tun und sei nicht Play-Protect-zertifiziert, heißt es weiter.
Smart-TVs und TV-Boxen mit Android TV oder Google TV sind also anscheinend nicht betroffen.