【新闻来自大蜘蛛】超百万安卓机顶盒被“空白”

驭龙

刚刚看到的新闻，感觉挺有意思的，就转过来跟饭友们分享一下，没想到大蜘蛛还对安卓非常执着啊，它家的安卓版好像就还行。

官方原文在这里
https://news.drweb.cn/show/?i=14900&lng=cn

2024年9月12日

Doctor Web公司技术专家侦测到一个新的安卓机顶盒感染病例。被命名为Android.Vo1d新恶意软件已感染了197个国家/地区用户的近1,300,000台设备。这是一个后门，能将其组件安装到系统区域，在攻击者的指挥下秘密下载和安装第三方软件。

2024年8月，有几个用户因Dr.Web反病毒软件在其设备上侦测到系统文件区域发生变化联系了我公司技术支持。侦测到系统文件区域发生变化的机型是：

电视机顶盒机型

厂家声明的系统版本

R4

Android 7.1.2; R4 Build/NHG47K

TV BOX

Android 12.1; TV BOX Build/NHG47K

KJ-SMART4KVIP

Android 10.1; KJ-SMART4KVIP Build/NHG47K

不同机型的感染迹象相似，在此仅以最早侦测到的一例来加以介绍。木马更改了机顶盒的以下对象:

• install-recovery.sh
• daemonsu
  

此外，文件系统中出现了4个新文件：

• /system/xbin/vo1d
• /system/xbin/wd
• /system/bin/debuggerd
• /system/bin/debuggerd_real
  

文件vo1d和wd—就是我们所发现的木马Android.Vo1d的组件。

该木马的编写者使用“vo1d”命名木马组件的原因可能是试图将其伪装成系统程序/system/bin/vold。该恶意软件也由此文件名称而得名（将小写字母“l”替换为数字“1”）。此外，这个拼写与“void”（英文“空白”一词）相近。

文件install-recovery.sh是大多数安装设备都有的一个脚本，在操作系统启动时启动，包含指定元素自动运行的数据。如果恶意软件具有root访问权限并且能够写入系统目录/system，那么恶意软件就可以将自身添加到此脚本（或者创建一个包含自身的脚本），这样就可在被感染设备立足）。Android.Vo1d写入脚本的是自动启动组件wd。

被修改后的文件install-recovery.sh

文件daemonsu存在于许多有root权限的安装设备上，由系统启动，负责向用户打开root权限。Android.Vo1d在此文件中进行了注册自身，同时设置了自动启动模块wd。

文件debuggerd通常是一个用于生成错误报告的守护进程，但在被感染机顶盒，这个文件已被替换为启动组件wd的脚本。

本例中脚本副本文件debuggerd_real替换的原文件是debuggerd。我公司专家认为，木马编写者的意图是将原文件debuggerd移至debuggerd_real并保持运行功能。然而，感染可能发生了两次，木马移至此路径的是脚本副本，结果造成设备上出现了两个木马脚本，真正的程序文件debuggerd已不复存在。

联系我公司技术的其他用户被感染的设备上的文件列表略有不同：

• daemonsu( 类似文件vo1d—Android.Vo1d.1);
• wd(Android.Vo1d.3);
• debuggerd( 与前面介绍的脚本类似);
• debuggerd_real( debuggerd工具的原文件);
• install-recovery.sh( 用于加载自身所含对象的脚本).
  

对所有这些文件进行研究后我们看到，木马编写者将Android.Vo1d植入系统至少使用了三种不同的方法：修改文件install-recovery.sh和daemonsu，以及替换程序debuggerd。这样，只要系统中存在一个目标文件，就可以达到后续设备重新启动时自动运行木马的目的。

Android.Vo1d的主要功能隐藏在两个协同运行的组件vo1d(Android.Vo1d.1)和wd(Android.Vo1d.3)中。Android.Vo1d.1模块负责启动Android.Vo1d.3并监控其活动，必要时会重新启动进程。此外，根据控制服务器的命令，此模块还能下载并运行可执行文件。而Android.Vo1d.3模块安装到设备并启动其主体中加密的守护进程(Android.Vo1d.5)，这一守护进程也具备下载和启动可执行文件的功能，此外，还会跟踪指定目录中是否出现应用程序的APK文件，出现后便会将其安装到设备。

我公司病毒分析师进行调查表明，感染Android.Vo1d后门的设备约达1,300,000台，分布在近200个国家，其中巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄罗斯、阿根廷、厄瓜多尔、突尼斯、马来西亚、阿尔及利亚和印度尼西亚发现了较多的感染病例。

感染设备数量最多的国家

传播Android.Vo1d的攻击者选择电视机顶盒作为目标的一个可能原因是此类设备通常操作系统是陈旧的安卓版本上，这些版本没有修复漏洞，并且厂家不再提供更新。例如，联系我们的用户的设备的系统是Android7.1，虽然一些用户设备表明的是更新的版本Android10和Android12。对于低档产品来说，厂商的这种做法并不罕见：设备实际使用的是老版本操作系统，为吸引买家而声称是较高版本。

此外，用户经常会错误地将机顶盒视为比智能手机安全的设备。因此，不太可能为机顶盒安装反病毒软件，在下载第三方应用程序或安装非官方固件时便会面临遭遇恶意软件的风险。

目前，此次机顶盒后门感染的源头尚不清楚。一种可能的媒介可能是中介恶意软件利用操作系统漏洞获取了root权限，另一种可能是使用了具有root访问权限的非官方固件版本。

Dr.Web Security Space移动设备保护产品能够侦测Android.Vo1d木马的所有已知变种，在具备root访问权限的情况下能够对感染的设备进行清除

失陷指标

Android.Vo1d.1更多详情

Android.Vo1d.3更多详情

Android.Vo1d.5更多详情

awsl10000次

如果用户数不多的情况下，还蛮好奇他们怎么遥测到具体/大致感染数量的

驭龙

awsl10000次 发表于 2024-9-19 01:33
如果用户数不多的情况下，还蛮好奇他们怎么遥测到具体/大致感染数量的

这个我也好奇，另外大蜘蛛安卓TV版本刚刚在国外被某应用商店下架了，大蜘蛛官方说法是安卓TV应用商店在调整

具体情况就不清楚了，也不知道以后能不能重新上架

pluto1313

我觉得蜘蛛对非Win的病毒情有独钟

ongarabazanade

我家的是小米机顶盒，不知道啥机型，这几天先不看了，等过过风头，希望不要中招

00006666

还不如当年那个入侵家用光猫的Pinkbot，人家完全让厂商失去反击能力，只能派人入户现场处理

https://blog.netlab.360.com/pinkbot/

00006666

awsl10000次 发表于 2024-9-19 01:33
如果用户数不多的情况下，还蛮好奇他们怎么遥测到具体/大致感染数量的

大网测绘了解一下，有相关信息就可以，可以大致知道有多少机器被感染

00006666

驭龙 发表于 2024-9-19 01:40
这个我也好奇，另外大蜘蛛安卓TV版本刚刚在国外被某应用商店下架了，大蜘蛛官方说法是安卓TV应用商店在调 ...

大网测绘相关的技术，大致可以知道感染量

国内也很多这种的网站/服务:

https://www.zoomeye.org/

https://quake.360.net/

https://x.threatbook.com/v5/mapping

驭龙

00006666 发表于 2024-9-19 11:51
大网测绘相关的技术，大致可以知道感染量

国内也很多这种的网站/服务:

第一个网站，我收藏夹里一直都在，就是基本没去过

00006666

驭龙 发表于 2024-9-19 11:54
第一个网站，我收藏夹里一直都在，就是基本没去过

钟馗之眼差不多是最早公开的大网测绘查询网站吧，多年前就有了，那个时候都没几个人知道这种技术