Um novo malware, denominado Vo1d, infectou cerca de 1,3 milhão de TV Boxes Android em 197 países, sendo o Brasil o mais afetado. A descoberta foi feita pela empresa russa de antivírus Doctor Web, que divulgou um relatório detalhando a ameaça.
Ancine prepara teste para bloquear sinal pirata de TV paga
O Vo1d é classificado como um backdoor, capaz de se instalar na área de armazenamento do sistema e, quando comandado pelos atacantes, baixar e instalar secretamente softwares de terceiros. Além do Brasil, outros países fortemente afetados incluem Marrocos, Paquistão, Arábia Saudita e Argentina.
A origem exata da infecção ainda é desconhecida, mas suspeita-se que possa envolver um comprometimento prévio que permite obter privilégios de root ou o uso de versões não oficiais de firmware com acesso root embutido.
Leia mais:
- Novos lançamentos de drones da DJI podem ser banidos dos EUA
- Justiça de São Paulo manda bloquear sites com Jogo do Tigrinho
- Procon-PR pede fim da cobrança pelo compartilhamento de senhas na Netflix
Entre os modelos de TV Box mais atingidos estão o KJ-SMART4KVIP (Android 10.1), R4 (Android 7.1.2) e TV BOX (Android 12.1). O ataque envolve a substituição do arquivo daemon “/system/bin/debuggerd” e a introdução de dois novos arquivos maliciosos.
O malware modifica arquivos do sistema operacional Android para garantir sua execução e persistência. Um dos componentes, chamado “vo1d”, é responsável por iniciar outro módulo chamado “wd” e garantir seu funcionamento contínuo.
Além disso, o Vo1d é capaz de baixar e executar programas conforme instruções de um servidor de comando e controle (C2). O malware também monitora diretórios específicos e instala arquivos APK encontrados neles.
A Doctor Web ressalta que não é incomum fabricantes de dispositivos de baixo custo utilizarem versões mais antigas do sistema operacional, disfarçando-as como mais recentes para torná-las mais atraentes aos consumidores.
Esta prática, no entanto, expõe os usuários a riscos significativos de segurança, como evidenciado por este ataque em larga escala. A falta de atualizações regulares de segurança torna esses dispositivos alvos fáceis para cibercriminosos.
O Google, em resposta ao incidente, informou que os modelos de TV infectados não eram dispositivos Android certificados pelo Play Protect. É provável que tenham utilizado código-fonte do repositório do Android Open Source Project.
Rock in Rio: Drones e Inteligência Artificial reforçam a segurança do festival
Especialistas em segurança recomendam que os usuários de TV Boxes Android estejam atentos a atualizações de firmware e evitem instalar aplicativos de fontes não confiáveis. Também é aconselhável adquirir apenas dispositivos de marcas reconhecidas que ofereçam suporte e atualizações regulares.
Fonte: Dr.Web