超130万台安卓机顶盒被植入Android.Vo1d恶意木马

安全公司Doctor Web监测到一个新型安卓机顶盒木马 Android.Vo1d，感染197个国家/地区用户近1,300,000台设备。

2024年08月时，多个用户向这家位于俄罗斯Dr.Web反病毒公司报告，其移动设备上侦测到系统文件区域发生变化。

公司技术人员发现系统文件区域发生变化的电视机顶盒型号问题固件版本分别是：

R4 Android 7.1.2; 

R4 Build/NHG47KTV BOXAndroid 12.1; 

TV BOX Build/NHG47KKJ-SMART4KVIPAndroid 10.1; KJ-SMART4KVIP Build/NHG47K

该木马病毒主要感染电视机顶盒 install-recovery.sh  和 daemonsu 这两个文件/文件夹，同时会创建如下四个文件夹：

/system/xbin/vo1d；/system/xbin/wd ；/system/bin/debuggerd；/system/bin/debuggerd_real

其中 vo1d 和 wd 文件便是发现的木马 Android.Vo1d 的组件，木马作者可能是想伪装成系统程序 /system/bin/vold。

因此安全专家便将其命名为 vo1d 木马病毒，通过将恶意组件安装到系统区域，攻击者能远程下载安装第三方软件。

接下来我们分析该木马病毒的具体攻击流程：

其中 install-recovery.sh 文件作为大多数安卓设备固有组件，可随操作系统启动而启动，以自动运行指定元素数据。

如果设备已被 root 且被恶意软件获取权限，则木马直接写入 /system 系统目录，通过自动启动组件 wd 实现自启动。

_{图片来源：被修改后的文件install-recovery.sh}

事实上，daemonsu 文件存在于许多具有root权限的安卓设备由系统启动，其作用主要是负责向用户开放 root 权限。

而 debuggerd文件通常用于生成错误报告的守护进程，但在被感染机顶盒中，该文件已被替换为启动组件 wd 脚本。

这是因为 Android.Vo1d 木马病毒在此文件中执行了注册自身的操作，同时还在系统进程中设置了自动启动脚本 wd。

安全专家发现，黑客将系统原有的 debuggerd 文件替换成了 debuggerd_real 脚本副本文件，出现了两个木马脚本。

而之所以出现这种情况，专家猜测黑客的本意可能是想将原文件 debuggerd 移至 debuggerd_real 并保持运行功能。

但实际过程中可能发生了两次感染，木马病毒移动此路径的是脚本副本，使真正的程序文件debuggerd已不复存在。

Android.Vo1d.1 这个模块的主要功能隐藏在两个协同运行的vo1d（Android.Vo1d.1）和wd（Android.Vo1d.3）中。

Android.Vo1d.1 模块负责启动 Android.Vo1d.3 并控制其活动，或者重启进程或通过远程指令下载运行可执行文件。

Android.Vo1d.3 模块反过来安装并启动嵌入其体内的加密 Android.Vo1d.5 守护进程，具备远程下载安装启动功能。

此外，Android.Vo1d.3 模块还会监控制定目录中是否存在应用程序的APK文件，并将其出现后便会将其安装到设备。

不同用户被感染的设备上的文件列表略有不同：

daemonsu（类似文件vo1d - Android.Vo1d.1）；

wd（Android.Vo1d.3）；

debuggerd；

debuggerd_real（debuggerd工具的原文件）；

install-recovery.sh（用于加载自身所含对象的脚本）

如上分析，安全专家表示，黑客将 Android.Vo1d 木马植入目标机顶盒的安卓系统中，至少使用了三种不同的方法：

比如说在前文中咱们分析的，修改 install-recovery.sh 文件和 daemonsu 以及替换 debuggerd 程序等的一系列操作。

经过这样操作，就可以实现只要系统中存在一个目标文件，就可以达到重启目标机顶盒，就能自动运行木马的目的。

据统计，感染 Android.Vo1d 后门病毒的安卓机顶盒设备数量约达1,300,000台，受害者主要分布在197个国家/地区。

包括巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄罗斯、阿根廷、厄瓜多尔、突尼斯、马来西亚、阿尔及利亚和印尼。

攻击者之所以将机顶盒作为目标，可能的原因是此类设备通常搭载旧版安卓版本，未修复漏洞且厂家不再提供更新。

当然，用户将机顶盒视同手机功能机而忽略其安全性也是遭遇攻击的重要因素，尽管很多机顶盒都搭载了安卓系统。

目前此次机顶盒后门攻击的源头暂未查明，安全专家认为可能有两种，一种是用户使用具有root权限的非官方固件，

另一种可能的媒介可能是中介恶意软件利用操作系统漏洞获取了root权限，当然我感觉这种情况基本属于小概率了。

不管怎么说，我们需要明确是的我们生活中使用的很多智能设备都可能遭遇黑客攻击，因此必须提高网络安全意识。

该更新系统更新系统、该更新固件更新固件，该升级换代就升级换代，不要让这些过时老设备成了黑客控制的肉鸡。