Android TV
イメージミッドジャーニー

脅威者は、Androidを実行する130万台以上のTVストリーミングボックスを新しいVo1dバックドアマルウェアに感染させ、攻撃者がデバイスを完全に制御できるようにしている。

Android Open Source Project(AOSP)は、グーグルが主導するオープンソースのオペレーティングシステムで、モバイル、ストリーミング、IoTデバイスで使用できる。

Dr.Webの新しいレポートでは、研究者は200カ国以上で130万台のデバイスがVo1dマルウェアに感染していることを発見しており、最も多く検出されたのはブラジル、モロッコ、パキスタン、サウジアラビア、ロシア、アルゼンチン、エクアドル、チュニジア、マレーシア、アルジェリア、インドネシアだった。

Geographic distribution of Vo1d-infected TV boxes
Vo1dに感染したTVボックスの地理的分布
出典:Dr.Web:Dr.Web

このマルウェアキャンペーンで標的とされているAndroidファームウェアは以下の通り:

  • Android 7.1.2; R4 Build/NHG47K
  • Android 12.1; TV BOXビルド/NHG47K
  • Android 10.1; KJ-SMART4KVIP Build/NHG47K

インストールされたVo1dマルウェアのバージョンに応じて、キャンペーンはinstall-recovery.shdaemonsu、またはdebuggerdオペレーティング・システム・ファイルを変更します。これらはすべて、Androidで一般的に見られるスタートアップ・スクリプトです。

Modified install-recovery.sh file
改変されたinstall-recovery.shファイル
ソースはこちら:Dr.Web

マルウェアキャンペーンは、これらのスクリプトを永続的に使用し、ブート時にVo1dマルウェアを起動します。

Vo1dマルウェア自体は、マルウェアの名前にちなんで命名されたwdファイルとvo1dファイルに配置されています。

「アンドロイドVo1dの主な機能は、vo1d(Android.Vo1d.1)とwd(Android.Vo1d.3)のコンポーネントに隠されており、これらは連動して動作します」とDr.Webは説明しています。

「Android.Vo1d.1モジュールはAndroid.Vo1d.3の起動を担当する。Android.Vo1d.1モジュールはAndroid.Vo1d.3の起動を担当し、その活動を制御し、必要に応じてプロセスを再起動します。さらに、C&Cサーバーから実行するよう命じられると、実行ファイルをダウンロードして実行することができる。

“順番に、Android.Vo1d.3モジュールは、暗号化され本体に保存されているAndroid.Vo1d.5デーモンをインストールし起動します。このモジュールは実行ファイルをダウンロードして実行することもできる。さらに、指定されたディレクトリを監視し、その中で見つけたAPKファイルをインストールします。”

Dr.Webは、Androidストリーミングデバイスがどのように侵害されているのかを把握していないが、研究者は、Androidストリーミングデバイスが脆弱性を持つ古いソフトウェアを一般的に実行しているため、それらが標的になっていると考えている。

「感染経路の1つとして、OSの脆弱性を悪用してroot権限を取得する中間マルウェアによる攻撃が考えられます」とDr.Webは結論付けている。

「もう1つの感染経路は、root権限を持つ非公式ファームウェアの使用である。

このマルウェアによる感染を防ぐために、Androidユーザーは、新しいファームウェアのアップデートが利用可能になったら、それをチェックし、インストールすることをお勧めします。また、公開されたサービスを通じて遠隔操作されている可能性があるため、これらのファームウェアをインターネットから必ず削除すること。

最後になるが、サードパーティのサイトからAPKとしてAndroidアプリケーションをAndroidにインストールすることは、マルウェアの一般的な感染源となるため避けること。

Vo1dマルウェアキャンペーンのIOCのリストは、Dr. WebのGitHubページに掲載されている。

9/12/24更新: グーグルは、感染したデバイスはAndroid TVを実行しておらず、代わりにAndroid Open Source Project(AOSP)を使用していると発表した。

「感染していることが発見されたこれらのブランド外のデバイスは、Play Protectの認証を受けたAndroidデバイスではありませんでした。端末がPlay Protect認証を受けていない場合、Googleはセキュリティと互換性のテスト結果を記録していない。Playプロテクト認定Android端末は、品質とユーザーの安全性を確保するために広範なテストを受けています。デバイスがAndroid TV OSで構築され、Play Protect認定を受けているかどうかを確認するために、当社のAndroid TVウェブサイトでは、パートナーの最新リストを提供しています。また、お使いのデバイスがPlay Protect認定を受けているかどうかを確認するには、以下の手順を実行することもできます。”- グーグルの広報担当者。

記事は、Googleとそのライセンスパートナーによってのみ使用されるAndroid TVを実行していないことを反映するために更新されました。

更新 9/12/24 グーグルからの追加情報を追加しました。