Investigadores han detectado una infección masiva que afecta a alrededor de 1,3 millones de dispositivos de streaming Android TV en casi 200 países. El malware identificado, llamado «Android.Vo1d», ha logrado infiltrarse en dispositivos con firmware basado en Android, colocando componentes maliciosos en áreas críticas del sistema.
Los dispositivos hackeados pueden recibir instrucciones de servidores controlados por atacantes para instalar software adicional o ejecutar código malicioso. Y los modelos afectados incluyen al R4 con Android 7.1.2, el TV BOX con Android 12.1 y el KJ-SMART4KVIP con Android 10.1, entre otros. La infección es más común en países como Brasil, Marruecos, Pakistán, Arabia Saudita, Rusia y Argentina.
Modo de operación del malware
Android.Vo1d es un troyano que se camufla como un archivo del sistema legítimo llamado «vold», pero sustituye la letra «l» por el número «1», adoptando el nombre «vo1d». Los principales componentes del malware, denominados Vo1d.1 y Vo1d.3, trabajan juntos para ejecutar el código malicioso. Vo1d.1 se encarga de controlar la actividad de Vo1d.3, asegurando que se reinicie en caso de interrupciones y que ejecute archivos bajo las órdenes de servidores de comando y control (C&C).
Este malware también modifica archivos críticos como «install-recovery.sh» y «daemonsu» para lograr persistencia en el sistema y asegurarse de que se ejecute cada vez que el dispositivo se reinicie. Asimismo, monitoriza directorios específicos para instalar aplicaciones APK con virus cuando sea necesario.
Distribución global de Android.Vo1d
Este software malicioso ha logrado infectar una gran cantidad de dispositivos debido a que muchos de estos funcionan con versiones antiguas y obsoletas de Android, que no han recibido los últimos parches de seguridad. Por ejemplo, algunas versiones del sistema operativo datan de 2016, como Android 7.1.2, lo que facilita la explotación de vulnerabilidades por parte de atacantes.
Se sospecha que la infección puede haber comenzado a través de una vulnerabilidad del sistema operativo o por el uso de versiones de firmware no oficiales con acceso root incorporado. Otra posible fuente de infección es que algunos dispositivos fueron comprometidos durante la cadena de suministro, lo que significa que ya estaban infectados cuando los usuarios los compraron.
Google ha indicado que estos dispositivos no están certificados por Play Protect, lo que significa que no han pasado por las pruebas de seguridad necesarias. Los usuarios pueden verificar si su dispositivo es seguro revisando las listas de socios certificados por Android TV en la Web de Google.
