Achtung, Nutzer von Android TV-Boxen! Es gibt neue Malware. Sie müssen sich jedoch keine Sorgen machen, wenn Ihr Gerät offiziell von Play Protect zertifiziert ist. Die als Vo1d bekannte Malware zielt direkt auf Android-Streaming-Geräte ab, auf denen ältere Versionen der Software laufen.
1,3 Millionen Android-Streaming-Boxen mit Vo1d-Malware infiziert
Cybersicherheitsexperten von Dr.Web fanden rund 1,3 Millionen mit Vo1d infizierte Android-Streaming-Boxen. Diese TV-Boxen sind in 197 Ländern weltweit vertreten. Zu den am stärksten betroffenen Ländern zählen Brasilien, Marokko, Pakistan, Saudi-Arabien, Argentinien, Russland, Tunesien, Ecuador, Malaysia, Algerien und Indonesien. Die Malware sei „in der Lage, heimlich Software von Drittanbietern herunterzuladen und zu installieren“, heißt es in dem Bericht des russischen Virenentwicklungsteams.
Vo1d nutzt Sicherheitslücken in älteren Versionen von Android TV aus, die ihm Root-Zugriff ermöglichen. Es ist auch auf einigen Geräten vorhanden, bei denen der Root-Zugriff standardmäßig aktiviert ist. Die Malware installiert sich auf sensiblen internen Speicherpartitionen, was ihr bestimmte Berechtigungen verleiht. Die Malware ersetzt zunächst die Daemon-Datei „/system/bin/debuggerd“. Dann lädt sie zwei infizierte Dateien herunter und platziert sie in „/system/xbin/vo1d“ und „/system/xbin/wd“.
Infizierte TV-Box-Modelle laufen mit Android 7 und älter
Die Vo1d-Entwickler (unbekannter Herkunft) zielten direkt auf die folgenden Android-Streaming-Geräte ab: KJ-SMART4KVIP (Android 10.1; Build/NHG47K), R4 (Android 7.1.2; Build/NHG47K) und TV BOX (Android 12.1; Build/NHG47K).
Vo1d nutzt eine Schwachstelle aus, die in Versionen vor Android 8.0 gefunden wurde. Interessanterweise enthält die Liste der infizierten Geräte auch Modelle, auf denen angeblich neuere Versionen wie Android 10 oder sogar Android 12 laufen. Das liegt jedoch daran, dass bestimmte Hersteller billiger Android-TV-Boxen die tatsächlich zugrunde liegende Android-Version tarnen, um sie wie eine neuere aussehen zu lassen, und dies als Verkaufsargument nutzen.
Die Malware kann unter Android 8 oder höher nicht funktionieren, da ein anderer Ansatz zur Absturzbehandlung vorliegt, bei dem die Daemons debuggerd und debuggerd64 irrelevant werden. Stattdessen werden neue crash_dump32- und crash_dump64-Daemons „nach Bedarf“ gestartet, heißt es in der Dokumentation von Google. Darüber hinaus wird der Name der Malware nicht zufällig gewählt. Auf älteren Android-Versionen gibt es einen Pfad „/system/bin/vold“. Vo1d würde in diesem Pfad liegen und „vold“ durch eine ähnlich benannte Datei ersetzen, um eine Erkennung zu vermeiden.
Geräte mit Play Protect-Zertifizierung sind sicher
Allerdings bestätigte Google, dass die infizierten Geräte nicht Play Protect-zertifiziert sind. Stattdessen hätten die Entwickler auf AOSP-Code zurückgegriffen, um das Betriebssystem zu kompilieren. Die Sicherheitssysteme von Google hätten die Malware bei der Überprüfung wahrscheinlich erkannt. Dies ist ein Beispiel für die Risiken, auf Produkte zweifelhafter Herkunft zurückzugreifen, um Geld zu sparen. Beim Umgang mit Geräten, die über eine Internetverbindung verfügen und vertrauliche persönliche Daten speichern, ist äußerste Vorsicht geboten. Es ist also besser, auf bekanntere Produkte zurückzugreifen, die weniger wahrscheinlich in Nachrichten über Malware-Angriffe auftauchen.
