{"id":303000,"date":"2024-09-15T01:26:32","date_gmt":"2024-09-14T23:26:32","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=303000"},"modified":"2024-09-20T19:07:19","modified_gmt":"2024-09-20T17:07:19","slug":"android-vo1d-malware-infiziert-13-mio-tv-boxen-fuer-botnet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/09\/15\/android-vo1d-malware-infiziert-13-mio-tv-boxen-fuer-botnet\/","title":{"rendered":"Android.Vo1d-Malware infiziert ~1,3 Mio. TV-Boxen f\u00fcr Botnet"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"margin: 0px 10px 0px 0px; display: inline; float: left;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/android.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>Sicherheitsforscher von Doctor Web sind auf eine Malware mit dem Namen Android.Vo1d gesto\u00dfen. Die Malware hat ca. 1,3 Millionen TV-Boxen, die als Betriebssystem auf dem Android Open Source Project (AOSP) aufsetzen, infiziert. Die Infektionen betreffen TV-Ger\u00e4te in fast 200 L\u00e4ndern, und diese bilden nun ein Botnet.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/d01297ecfec040fc9eff95e5d7d78e98\" alt=\"\" width=\"1\" height=\"1\" \/>Im August 2024 wurde Doctor Web von mehreren Anwendern kontaktiert, deren Dr.Web-Antivirus \u00c4nderungen im Systemdateienbereich ihres Ger\u00e4ts festgestellt hatte. Das Problem trat bei diesen Modellen auf:<\/p>\n<table class=\"Table\">\n<tbody>\n<tr>\n<td>R4<\/td>\n<td>Android 7.1.2; R4 Build\/NHG47K<\/td>\n<\/tr>\n<tr>\n<td>TV BOX<\/td>\n<td>Android 12.1; TV BOX Build\/NHG47K<\/td>\n<\/tr>\n<tr>\n<td>KJ-SMART4KVIP<\/td>\n<td>Android 10.1; KJ-SMART4KVIP Build\/NHG47K<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Alle diese F\u00e4lle wiesen \u00e4hnliche Anzeichen einer Infektion auf, und Dr. Web beschreibt in <a href=\"https:\/\/news.drweb.com\/show\/?i=14900&amp;lng=en&amp;c=9\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> die Details. So werden auf den Ger\u00e4ten die Objekte:<\/p>\n<ul>\n<li><span class=\"string\">install-recovery.sh<\/span><\/li>\n<li><span class=\"string\">daemonsu<\/span><\/li>\n<\/ul>\n<p>ge\u00e4ndert. Die Datei<em> install-recovery.sh<\/em> ist ein Skript, das auf den meisten Android-Ger\u00e4ten vorhanden ist. Es wird beim Start des Betriebssystems ausgef\u00fchrt und enth\u00e4lt Daten zur automatischen Ausf\u00fchrung der darin angegebenen Elemente.<\/p>\n<p>Verf\u00fcgt eine Malware \u00fcber Root-Zugriff und die F\u00e4higkeit, in das Systemverzeichnis \/system zu schreiben, kann sie sich auf dem infizierten Ger\u00e4t verankern, indem sie sich selbst zu diesem Skript hinzuf\u00fcgt (oder es von Grund auf neu erstellt, wenn es nicht im System vorhanden ist).\u00a0Au\u00dferdem tauchten 4 neue Dateien im Dateisystem der Android-Boxen auf:<\/p>\n<ul>\n<li><span class=\"string\">system\/xbin\/vo1d<\/span><\/li>\n<li><span class=\"string\">\/system\/xbin\/wd<\/span><\/li>\n<li><span class=\"string\">\/system\/bin\/debuggerd<\/span><\/li>\n<li><span class=\"string\">\/system\/bin\/debuggerd_real<\/span><\/li>\n<\/ul>\n<p>Die Autoren des Trojaners haben wahrscheinlich versucht, so die Vermutung der Sicherheitsforscher, eine seiner Komponenten als das Systemprogramm \/system\/bin\/vold zu tarnen, Der \u00e4hnlich aussehende Name \u201evo1d\" weist darauf hin (wobei sie den Kleinbuchstaben \u201el\" durch die Zahl \u201e1\" ersetzt haben). Der Name des b\u00f6sartigen Programms leitet sich aus dem Namen dieser Datei ab. Au\u00dferdem ist diese Schreibweise konsonant mit dem englischen Wort \u201evoid\". Android.Vo1d enth\u00e4lt den Autostart f\u00fcr die Komponente wd in dieser Datei registriert.<\/p>\n<p>Eine von den Malware-Analysten von Doctor Web durchgef\u00fchrte Studie ergab, dass die Android.Vo1d-Backdoor rund 1,3 Millionen Ger\u00e4te infiziert hat, w\u00e4hrend ihre geografische Verbreitung fast 200 L\u00e4nder umfasst.\u00a0Die meisten Infektionen wurden in Brasilien, Marokko, Pakistan, Saudi-Arabien, Russland, Argentinien, Ecuador, Tunesien, Malaysia, Algerien und Indonesien festgestellt.<\/p>\n<p>Ein m\u00f6glicher Grund, warum die Angreifer, die Android.Vo1d verbreiten, speziell TV-Boxen ausgew\u00e4hlt haben, ist, dass solche Ger\u00e4te oft mit veralteten Android-Versionen laufen, die ungepatchte Sicherheitsl\u00fccken aufweisen und nicht mehr mit Updates unterst\u00fctzt werden.<\/p>\n<p>Die Nutzer, die Dr. Web kontaktiert haben, besitzen beispielsweise Modelle, die auf Android 7.1 basieren, obwohl die Konfiguration bei einigen von ihnen auf viel neuere Versionen wie Android 10 und Android 12 hinweist. Leider ist es nicht ungew\u00f6hnlich, dass Hersteller von Billigger\u00e4ten \u00e4ltere Betriebssystemversionen verwenden und sie als aktuellere Versionen ausgeben, um sie attraktiver zu machen.<\/p>\n<p>Dar\u00fcber hinaus nehmen die Nutzer selbst TV-Boxen f\u00e4lschlicherweise als besser gesch\u00fctzte Ger\u00e4te als Smartphones wahr. Infolgedessen installieren sie m\u00f6glicherweise seltener Antiviren-Software (vermutet Dr. Web) auf diesen Ger\u00e4ten und riskieren, beim Herunterladen von Drittanbieter-Apps oder beim Installieren inoffizieller Firmware auf Malware zu sto\u00dfen.<\/p>\n<p>Im Moment ist die Quelle der Backdoor-Infektion der TV-Boxen noch unbekannt. Ein m\u00f6glicher Infektionsvektor k\u00f6nnte ein Angriff durch eine zwischengeschaltete Malware sein, die Schwachstellen des Betriebssystems ausnutzt, um Root-Rechte zu erlangen. Ein anderer m\u00f6glicher Vektor k\u00f6nnte die Verwendung inoffizieller Firmware-Versionen mit integriertem Root-Zugriff sein.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sicherheitsforscher von Doctor Web sind auf eine Malware mit dem Namen Android.Vo1d gesto\u00dfen. Die Malware hat ca. 1,3 Millionen TV-Boxen, die als Betriebssystem auf dem Android Open Source Project (AOSP) aufsetzen, infiziert. Die Infektionen betreffen TV-Ger\u00e4te in fast 200 L\u00e4ndern, &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/09\/15\/android-vo1d-malware-infiziert-13-mio-tv-boxen-fuer-botnet\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,426],"tags":[4308,4328,4360],"class_list":["post-303000","post","type-post","status-publish","format-standard","hentry","category-android","category-sicherheit","tag-android","tag-sicherheit","tag-tv"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/303000","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=303000"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/303000\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=303000"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=303000"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=303000"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}