Laut Doctor Web nutzten Hacker die Malware Android.Vo1d, um eine Hintertür auf TV-Boxen zu installieren. Dadurch konnten sie die volle Kontrolle über das Gerät übernehmen und später weitere Schadanwendungen herunterladen und installieren. Auf diesen TV-Boxen läuft ein veraltetes Android-Betriebssystem.

Wichtig ist, dass Vo1d nicht auf Geräte mit Android TV abzielt, sondern auf Set-Top-Boxen mit älteren Android-Versionen, die auf dem Android Open Source Project basieren. Android TV ist nur für lizenzierte Gerätehersteller verfügbar.

android.Vo1d_map_en 640x368.png
Karte der mit Malware infizierten Android-TV-Boxen. Foto: Doctor Web

Die Experten von Doctor Web haben noch nicht herausgefunden, wie die Hacker die Hintertür auf der TV-Box installiert haben. Sie vermuten, dass sie möglicherweise einen böswilligen Vermittler eingesetzt, eine Schwachstelle im Betriebssystem ausgenutzt haben, um Privilegien zu erlangen, oder inoffizielle Firmware mit der höchsten Zugriffsebene (Root) verwendet haben.

Ein weiterer Grund könnte sein, dass auf dem Gerät ein veraltetes Betriebssystem läuft, das anfällig für aus der Ferne ausnutzbare Schwachstellen ist. Beispielsweise wurden die Versionen 7.1, 10.1 und 12.1 in den Jahren 2016, 2019 und 2022 veröffentlicht. Es ist nicht ungewöhnlich, dass Billighersteller ein älteres Betriebssystem auf einer TV-Box installieren, es aber als modernes Modell tarnen, um Kunden anzulocken.

Darüber hinaus kann jeder Hersteller Open-Source-Versionen ändern, wodurch Geräte in der Quelllieferkette mit Malware infiziert und kompromittiert werden können, bevor sie die Kunden erreichen.

Ein Google-Vertreter bestätigte, dass die Geräte, auf denen die Hintertür gefunden wurde, nicht für Play Protect zertifiziert waren. Daher verfügt Google weder über ein Sicherheitsprofil noch über kompatible Testergebnisse.

Play Protect-zertifizierte Android-Geräte werden umfangreichen Tests unterzogen, um Qualität und Benutzersicherheit zu gewährleisten.

Doctor Web sagte, es gebe ein Dutzend Vo1d-Varianten, die unterschiedliche Codes verwenden und Malware in unterschiedlichen Speicherbereichen einschleusen, aber alle das gleiche Ergebnis hätten: Das Gerät werde mit dem C&C-Server des Hackers verbunden und es würden Komponenten installiert, um später auf Befehl zusätzliche Malware zu installieren.

Die Fälle sind über den gesamten Globus verteilt, konzentrieren sich jedoch am stärksten auf Brasilien, Marokko, Pakistan, Saudi-Arabien, Russland, Argentinien, Ecuador, Tunesien, Malaysia, Algerien und Indonesien.

(Laut Forbes)