Attention, utilisateurs de boîtiers TV Android ! De nouveaux programmes malveillants sont apparus. Cependant, vous n'avez pas à vous inquiéter si votre appareil est officiellement certifié par Play Protect. Le programme malveillant, connu sous le nom de Vo1d, cible directement les appareils de streaming Android exécutant des versions plus anciennes du logiciel.
1,3 million de boîtiers de streaming Android infectés par le malware Vo1d
Les experts en cybersécurité de Dr.Web ont découvert environ 1,3 million de boîtiers de streaming Android infectés par Vo1d. Ces boîtiers TV sont présents dans 197 pays à travers le monde. La liste des pays les plus touchés comprend le Brésil, le Maroc, le Pakistan, l'Arabie saoudite, l'Argentine, la Russie, la Tunisie, l'Équateur, la Malaisie, l'Algérie et l'Indonésie. Le malware est « capable de télécharger et d'installer secrètement des logiciels tiers », selon le rapport de l'équipe russe de développement du virus.
Vo1d exploite les failles de sécurité des anciennes versions d'Android TV qui lui permettent d'obtenir un accès root. Il est également présent sur certains appareils dont l'accès root est activé par défaut. Le malware s'installe sur des partitions de stockage interne sensibles, ce qui lui confère certains privilèges. Le malware remplace d'abord le fichier démon « /system/bin/debuggerd ». Ensuite, il télécharge deux fichiers infectés et les place dans « /system/xbin/vo1d » et « /system/xbin/wd ».
Les modèles de boîtiers TV infectés fonctionnent sous Android 7 et versions antérieures
Les développeurs de Vo1d (d'origine inconnue) ont directement ciblé les appareils de streaming Android suivants : KJ-SMART4KVIP (Android 10.1 ; build/NHG47K), R4 (Android 7.1.2 ; build/NHG47K) et TV BOX (Android 12.1 ; build/NHG47K).
Vo1d exploite une vulnérabilité présente dans les versions antérieures à Android 8.0. Il est intéressant de noter que la liste des appareils infectés comprend des modèles fonctionnant sous des versions plus récentes, comme Android 10 ou même Android 12. Cependant, c'est parce que certains fabricants de boîtiers TV Android bon marché camouflent la version Android sous-jacente réelle pour la faire ressembler à une version plus récente, l'utilisant comme argument de vente.
Le malware ne peut pas fonctionner sur Android 8 ou version ultérieure en raison d'une approche différente de gestion des pannes dans laquelle les démons debuggerd et debuggerd64 deviennent inutiles. Au lieu de cela, de nouveaux démons crash_dump32 et crash_dump64 sont générés « selon les besoins », indique la documentation de Google. De plus, le nom du malware n'est pas choisi au hasard. Il existe un chemin « /system/bin/vold » sur les anciennes versions d'Android. Vo1d résiderait dans ce chemin, remplaçant « vold » par un fichier portant un nom similaire pour tenter d'éviter la détection.
Les appareils certifiés Play Protect sont sûrs
Cela dit, Google a confirmé que les appareils infectés ne sont pas certifiés Play Protect. Les développeurs auraient plutôt eu recours au code AOSP pour compiler le système d'exploitation. Les systèmes de sécurité de Google auraient probablement détecté le malware lors de l'analyse. C'est un exemple des risques que comporte le recours à des produits d'origine douteuse pour économiser de l'argent. Il est crucial de faire preuve de prudence lorsqu'on utilise des appareils qui disposent d'une connexion Internet et qui stockent des données personnelles sensibles. Il est donc préférable de recourir à des produits plus connus, moins susceptibles d'apparaître dans les articles de presse sur les attaques de malwares.
