130 万 Android TV 盒子竟遭 Vo1d 恶意软件侵袭

安卓电视盒子的用户们注意啦！出现了新的恶意软件哟。但是，要是您的设备通过了 Play Protect 的官方认证，那您就不用担心啦。这种叫做 Vo1d 的恶意软件呀，直接瞄准了运行旧版本软件的安卓流媒体设备。

来自 Dr.Web 的网络安全专家发现了，大概有 130 万个安卓流媒体盒子被 Vo1d 感染了。这些电视盒子分布在全球的 197 个国家。受影响最严重的国家名单有巴西、摩洛哥、巴基斯坦、沙特阿拉伯、阿根廷、俄罗斯、突尼斯、厄瓜多尔、马来西亚、阿尔及利亚以及印度尼西亚。根据俄罗斯病毒开发团队的报告，这个恶意软件‘能够偷偷下载和安装第三方软件’。

Vo1d 借助了较旧安卓电视版本中的安全漏洞，从而获取 root 权限。它还出现在某些默认启用 root 权限的设备上。该恶意软件将自身安装在敏感的内部存储分区上，这让它获得了一定的特权。该恶意软件首先替换“/system/bin/debuggerd”守护程序文件。然后，它下载两个被感染的文件，并将它们放置在“/system/xbin/vo1d”和“/system/xbin/wd”中。

Vo1d 开发者（来源不明）直接将以下安卓流媒体设备作为目标：KJ-SMART4KVIP（安卓 10.1；build/NHG47K）、R4（安卓 7.1.2；build/NHG47K）和 TV BOX（安卓 12.1；build/NHG47K）。

Vo1d 利用了在 Android 8.0 以下版本中发现的一个漏洞。有趣的是，受感染设备的列表中包含了据称运行较新版本的型号，例如 Android 10 甚至 Android 12。然而，这是因为某些廉价 Android 电视盒子的制造商掩盖了实际的底层 Android 版本，让其看起来像是更新的版本，并将此作为销售卖点。

由于采用了不同的崩溃处理方法，恶意软件无法在 Android 8 或更高版本上运行，在这种方法下，debuggerd 和 debuggerd64 守护进程变得无关紧要。相反，谷歌的文档称，会“按需”生成新的 crash_dump32 和 crash_dump64 守护进程。此外，恶意软件的名称并非随机选择。在较旧版本的 Android 上有一个“/system/bin/vold”路径。Vo1d 会驻留于该路径，用一个类似名称的文件替换“vold”，以试图避免被检测到。

话虽如此，谷歌证实受感染的设备未获得 Play Protect 认证。相反，开发者会采用 AOSP 代码来编译操作系统。谷歌的安全系统很可能在审查期间就检测到了恶意软件。这是为了省钱而求助于来源不明产品所带来风险的一个例子。在处理具有联网功能且存储敏感个人数据的设备时，保持谨慎至关重要。因此，最好求助于更知名的产品，这些产品不太可能出现在 有关恶意软件攻击的新闻报道 中。