130 萬 Android TV 盒子竟遭 Vo1d 惡意軟件侵襲

安卓電視盒子的用戶們注意啦！出現了新的惡意軟件喲。但是，要是您的設備通過了 Play Protect 的官方認證，那您就不用擔心啦。這種叫做 Vo1d 的惡意軟件呀，直接瞄準了運行舊版本軟件的安卓流媒體設備。

來自 Dr.Web 的網絡安全專家發現了，大概有 130 萬個安卓流媒體盒子被 Vo1d 感染了。這些電視盒子分佈在全球的 197 個國家。受影響最嚴重的國家名單有巴西、摩洛哥、巴基斯坦、沙特阿拉伯、阿根廷、俄羅斯、突尼斯、厄瓜多爾、馬來西亞、阿爾及利亞以及印度尼西亞。根據俄羅斯病毒開發團隊的報告，這個惡意軟件‘能夠偷偷下載和安裝第三方軟件’。

Vo1d 藉助了較舊安卓電視版本中的安全漏洞，從而獲取 root 權限。它還出現在某些默認啓用 root 權限的設備上。該惡意軟件將自身安裝在敏感的內部存儲分區上，這讓它獲得了一定的特權。該惡意軟件首先替換“/system/bin/debuggerd”守護程序文件。然後，它下載兩個被感染的文件，並將它們放置在“/system/xbin/vo1d”和“/system/xbin/wd”中。

Vo1d 開發者（來源不明）直接將以下安卓流媒體設備作爲目標：KJ-SMART4KVIP（安卓 10.1；build/NHG47K）、R4（安卓 7.1.2；build/NHG47K）和 TV BOX（安卓 12.1；build/NHG47K）。

Vo1d 利用了在 Android 8.0 以下版本中發現的一個漏洞。有趣的是，受感染設備的列表中包含了據稱運行較新版本的型號，例如 Android 10 甚至 Android 12。然而，這是因爲某些廉價 Android 電視盒子的製造商掩蓋了實際的底層 Android 版本，讓其看起來像是更新的版本，並將此作爲銷售賣點。

由於採用了不同的崩潰處理方法，惡意軟件無法在 Android 8 或更高版本上運行，在這種方法下，debuggerd 和 debuggerd64 守護進程變得無關緊要。相反，谷歌的文檔稱，會“按需”生成新的 crash_dump32 和 crash_dump64 守護進程。此外，惡意軟件的名稱並非隨機選擇。在較舊版本的 Android 上有一個“/system/bin/vold”路徑。Vo1d 會駐留於該路徑，用一個類似名稱的文件替換“vold”，以試圖避免被檢測到。

話雖如此，谷歌證實受感染的設備未獲得 Play Protect 認證。相反，開發者會採用 AOSP 代碼來編譯操作系統。谷歌的安全系統很可能在審查期間就檢測到了惡意軟件。這是爲了省錢而求助於來源不明產品所帶來風險的一個例子。在處理具有聯網功能且存儲敏感個人數據的設備時，保持謹慎至關重要。因此，最好求助於更知名的產品，這些產品不太可能出現在 有關惡意軟件攻擊的新聞報道 中。