Oltre 1,3 milioni di dispositivi di streaming TV che utilizzano il sistema operativo Android sono stati infettati dal nuovo malware Vo1d, il quale consente agli aggressori di assumere il pieno controllo delle apparecchiature. La scoperta, effettuata dai ricercatori di Dr.Web, evidenzia un attacco concentrato in particolar modo in nazioni come Brasile, Marocco, Pakistan e Russia.
Il malware, denominato Vo1d, agisce modificando alcuni script di avvio fondamentali per il sistema operativo Android, tra cui install-recovery.sh, daemonsu e debuggerd. Tale modifica garantisce la persistenza del software dannoso all'interno del dispositivo e ne facilita l'attivazione automatica ad ogni avvio del dispositivo.
Il meccanismo di attacco di Vo1d include due principali componenti malware: Android.Vo1d.1 e Android.Vo1d.3. Il primo è responsabile dell'avvio del secondo e ne gestisce le attività, compreso il riavvio del processo se necessario e l'esecuzione di comandi ricevuti dal server di comando e controllo. L'altro componente, Android.Vo1d.3, installa e avvia un deamon criptato, Android.Vo1d.5, e può anch'esso scaricare ed eseguire file eseguibili, oltre a monitorare e installare file APK incontrati nei directory specificate.
Le tecniche di infezione rimangono incerte, ma i ricercatori ipotizzano che i dispositivi vengano compromessi attraverso l'utilizzo di software obsoleto che presenta vulnerabilità, o tramite firmware non ufficiali che includono accesso root. Per prevenire infezioni, gli utenti sono incoraggiati a installare gli aggiornamenti firmware disponibili e ad evitare di connettere i dispositivi infetti a Internet, oltre a evitare il download di applicazioni Android da siti terzi non ufficiali.
Recentemente, Google ha precisato che i dispositivi infetti non utilizzano Android TV ufficialmente supportato, bensì una versione del sistema operativo proveniente dal progetto Android Open Source Project (AOSP), senza le certificazioni di sicurezza Play Protect, che garantiscono una sicurezza e compatibilità testate.
Questo evento solleva preoccupazioni significative sulla sicurezza di dispositivi meno noti che utilizzano versioni non certificate del sistema operativo Android, esponendo gli utenti a rischi potenzialmente gravi senza le adeguate misure di protezione.