Des chercheurs ignorent encore la cause d’une infection liée à un logiciel malveillant récemment découverte, touchant presque 1,3 million d’appareils de streaming fonctionnant sous une version open source d’Android dans près de 200 pays.
La société de sécurité Doctor Web a rapporté jeudi que le logiciel malveillant nommé Android.Vo1d a compromis ces boîtiers basés sur Android en intégrant des composants malveillants dans leur zone de stockage système, où ils peuvent être mis à jour avec d’autres logiciels malveillants à tout moment par des serveurs de commande et de contrôle. Des représentants de Google ont précisé que les appareils infectés fonctionnent sous des systèmes d’exploitation basés sur le projet Android Open Source, une version supervisée par Google mais distincte d’Android TV, une version propriétaire réservée aux fabricants d’appareils sous licence.
Dizaines de variantes
Bien que Doctor Web ait une bonne compréhension de Vo1d et de l’ampleur exceptionnelle qu’il a atteinte, les chercheurs de l’entreprise affirment qu’ils n’ont pas encore déterminé le vecteur d’attaque à l’origine des infections.
« Pour l’instant, la source de l’infection des boîtiers TV reste inconnue », indique le post de jeudi. « Un vecteur d’infection possible pourrait être une attaque par un logiciel malveillant intermédiaire qui exploite des vulnérabilités du système d’exploitation pour obtenir des privilèges root. Un autre vecteur possible pourrait être l’utilisation de versions de micrologiciel non officielles avec un accès root intégré. »
Les modèles d’appareils suivants sont infectés par Vo1d :
Modèle de boîtier TV | Version du micrologiciel déclarée |
---|---|
R4 | Android 7.1.2 ; R4 Build/NHG47K |
TV BOX | Android 12.1 ; TV BOX Build/NHG47K |
KJ-SMART4KVIP | Android 10.1 ; KJ-SMART4KVIP Build/NHG47K |
Une cause possible des infections est que les appareils fonctionnent avec des versions obsolètes vulnérables aux exploitations capables d’exécuter du code malveillant à distance. Les versions 7.1, 10.1 et 12.1, par exemple, ont été publiées respectivement en 2016, 2019 et 2022. De plus, Doctor Web a déclaré qu’il n’est pas rare que les fabricants d’appareils à bas prix installent des versions anciennes du système d’exploitation dans les boîtiers de streaming, les faisant paraître plus attrayants en les faisant passer pour des modèles plus récents.
En outre, seuls les fabricants d’appareils sous licence sont autorisés à modifier AndroidTV de Google, tandis que n’importe quel fabricant d’appareil peut modifier les versions open source. Cela laisse ouverte la possibilité que les appareils aient été infectés dans la chaîne d’approvisionnement et étaient déjà compromis au moment de leur achat par l’utilisateur final.
« Ces appareils de marque moins connue découverts comme infectés n’étaient pas des appareils Android certifiés Play Protect », a déclaré Google dans un communiqué. « Si un appareil n’est pas certifié Play Protect, Google n’a pas de dossier des résultats des tests de sécurité et de compatibilité. Les appareils Android certifiés Play Protect sont soumis à des tests rigoureux pour garantir leur qualité et la sécurité des utilisateurs. »
Le communiqué a précisé que les gens peuvent confirmer qu’un appareil fonctionne sous Android TV OS en consultant ce lien et en suivant les étapes indiquées ici.
Doctor Web a déclaré qu’il existe des dizaines de variantes de Vo1d qui utilisent différents codes et implantent des logiciels malveillants dans des zones de stockage légèrement différentes, mais qui aboutissent toutes au même résultat final de connexion à un serveur contrôlé par un attaquant et d’installation d’un composant final qui peut installer des logiciels malveillants supplémentaires sur ordre. VirusTotal montre que la plupart des variantes de Vo1d ont été téléchargées pour la première fois sur le site d’identification des logiciels malveillants il y a plusieurs mois.
Les chercheurs ont écrit :
Tous ces cas ont présenté des signes d’infection similaires, nous allons donc les décrire en utilisant l’une des premières demandes que nous avons reçues comme exemple. Les objets suivants ont été modifiés sur le boîtier TV affecté :
- install-recovery.sh
- daemonsu
De plus, 4 nouveaux fichiers sont apparus dans son système de fichiers :
- /system/xbin/vo1d
- /system/xbin/wd
- /system/bin/debuggerd
- /system/bin/debuggerd_real
Les fichiers vo1d et wd sont les composants du trojan Android.Vo1d que nous avons découvert.
Les auteurs du trojan ont probablement essayé de déguiser l’un de ses composants en tant que programme système /system/bin/vold, l’ayant appelé par un nom à l’apparence similaire « vo1d » (en substituant la lettre minuscule « l » par le chiffre « 1 »). Le nom du programme malveillant provient du nom de ce fichier. De plus, cette orthographe est consonante avec le mot anglais « void ».
Le fichier install-recovery.sh est un script présent sur la plupart des appareils Android. Il s’exécute lorsque le système d’exploitation est lancé et contient des données pour l’exécution automatique des éléments qui y sont spécifiés. Si un logiciel malveillant a un accès root et la capacité d’écrire dans le répertoire système /system, il peut s’ancrer dans l’appareil infecté en s’ajoutant à ce script (ou en le créant de toutes pièces s’il n’est pas présent dans le système). Android.Vo1d a enregistré le démarrage automatique pour le composant wd dans ce fichier.
Le fichier daemonsu est présent sur de nombreux appareils Android avec accès root. Il est lancé par le système d’exploitation au démarrage et est responsable de fournir des privilèges root à l’utilisateur. Android.Vo1d s’est également enregistré dans ce fichier, ayant également configuré le démarrage automatique pour le module wd.
Le fichier debuggerd est un démon généralement utilisé pour créer des rapports sur les erreurs survenues. Mais lorsque le boîtier TV a été infecté, ce fichier a été remplacé par le script qui lance le composant wd.
Le fichier debuggerd_real dans le cas que nous examinons est une copie du script qui a été utilisée pour remplacer le vrai fichier debuggerd. Les experts de Doctor Web estiment que les auteurs du trojan ont prévu que le fichier debuggerd original soit déplacé dans debuggerd_real pour maintenir sa fonctionnalité. Toutefois, étant donné que l’infection s’est probablement produite deux fois, le trojan a déplacé le fichier déjà substitué (c’est-à-dire le script). En fin de compte, l’appareil avait deux scripts du trojan et aucun fichier réel du programme debuggerd.
En même temps, d’autres utilisateurs qui nous ont contactés avaient une liste de fichiers légèrement différente sur leurs appareils infectés :
- daemonsu (l’analogue du fichier vo1d — Android.Vo1d.1);
- wd (Android.Vo1d.3);
- debuggerd (le même script que décrit ci-dessus);
- debuggerd_real (le fichier original de l’outil debuggerd);
- install-recovery.sh (un script qui charge les objets qui y sont spécifiés).
Une analyse de tous les fichiers mentionnés ci-dessus a montré qu’en pour ancrer Android.Vo1d dans le système, ses auteurs ont utilisé au moins trois méthodes différentes : la modification des fichiers install-recovery.sh et daemonsu et la substitution du programme debuggerd. Ils ont probablement prévu qu’au moins l’un des fichiers cibles soit présent dans le système infecté, puisque manipuler même l’un d’eux garantirait le lancement automatique réussi du trojan lors des redémarrages ultérieurs de l’appareil.
La fonctionnalité principale d’Android.Vo1d est dissimulée dans ses composants vo1d (Android.Vo1d.1) et wd (Android.Vo1d.3), qui fonctionnent de manière conjointe. Le module Android.Vo1d.1 est responsable du lancement de Android.Vo1d.3 et contrôle son activité, redémarrant son processus si nécessaire. En outre, il peut télécharger et exécuter des exécutables lorsqu’il en reçoit l’ordre du serveur de commande et de contrôle. À son tour, le module Android.Vo1d.3 installe et lance le démon Android.Vo1d.5 qui est encrypté et stocké dans son corps. Ce module peut également télécharger et exécuter des exécutables. De plus, il surveille les répertoires spécifiés et installe les fichiers APK qu’il y trouve.
La répartition géographique des infections est large, avec le plus grand nombre détecté au Brésil, au Maroc, au Pakistan, en Arabie saoudite, en Russie, en Argentine, en Équateur, en Tunisie, en Malaisie, en Algérie, et en Indonésie.
Il n’est pas particulièrement facile pour les personnes moins expérimentées de vérifier si un appareil est infecté sans installer de scanners de logiciels malveillants. Doctor Web a déclaré que son logiciel antivirus pour Android détectera toutes les variantes de Vo1d et désinfectera les appareils qui fournissent un accès root. Les utilisateurs plus expérimentés peuvent consulter les indicateurs de compromission ici.
En tant que journaliste, je trouve alarmant que tant de dispositifs d’usage courant soient vulnérables à de tels logiciels malveillants. Cela souligne l’importance de rester vigilant quant à la sécurité des appareils que nous utilisons au quotidien, ainsi que l’importance des mises à jour et certifications appropriées pour garantir notre sécurité en ligne.