Un nuevo malware llamado Vo1d (también conocido como Void) ha infectado a cerca de 1.3 millones de Android TV Box en 197 países. Este ataque ha afectado principalmente a modelos con versiones obsoletas del sistema operativo, y ha sido descubierto por la empresa de seguridad Doctor Web, que publicó un informe detallado sobre este ataque cibernético.
Vo1d es un tipo de malware de puerta trasera o «backdoor» que se infiltra en el sistema de almacenamiento del dispositivo infectado y puede descargar e instalar software de terceros de manera sigilosa. Los ciberatacantes detrás de Vo1d utilizan este malware para ejecutar comandos remotos, controlar los dispositivos comprometidos y potencialmente hacerlos parte de una red de bots o usarlos para instalar aplicaciones maliciosas sin el conocimiento del usuario.
Este tipo de ataque es preocupante, ya que otorga un control relevante a los atacantes sobre los dispositivos afectados, poniendo en riesgo la privacidad, seguridad y funcionamiento de los Android TV Box que utilizan sistemas operativos Android.
Las infecciones han sido detectadas principalmente en países como Brasil, Marruecos, Pakistán, Arabia Saudita, Argentina, Rusia, Túnez, Ecuador, Malasia, Argelia e Indonesia. Entre los modelos de Android TV Box que han sido afectados están:
- KJ-SMART4KVIP (Android 10.1)
- R4 (Android 7.1.2)
- TV BOX (Android 12.1)
¿Cómo infecta el malware Vo1d?
El ataque se lleva a cabo sustituyendo archivos clave del sistema, como el daemon “/system/bin/debuggerd”, por archivos maliciosos como «/system/xbin/vo1d» y «/system/xbin/wd», los cuales contienen el código del malware. El archivo “debuggerd” original es renombrado y respaldado como “debuggerd_real”, lo que permite a los atacantes mantener el control sin ser detectados fácilmente.
Antes de la versión 8.0 de Android, los errores del sistema eran gestionados por los daemons “debuggerd” y “debuggerd64”. Sin embargo, en las versiones más recientes de Android, se utilizan otros procesos como “crash_dump32” y “crash_dump64”. Aun así, los atacantes han encontrado la forma de explotar las versiones más antiguas del sistema operativo y modificar archivos esenciales como “install-recovery.sh” y “daemonsu”, que son claves en la ejecución del malware.
Disfraz del malware y ejecución de código malicioso
Doctor Web menciona que los autores del troyano probablemente intentaron disfrazar uno de los componentes del malware como un programa del sistema al nombrarlo de manera similar a “/system/bin/vold”, pero cambiando la letra «l» por el número «1» para evitar ser detectado. De esta manera, el archivo malicioso “vo1d” se ejecuta de forma continua y descarga otros ejecutables según las instrucciones de un servidor de comando y control (C2).
Una vez que el malware está en marcha, monitorea directorios específicos en busca de archivos APK y los instala sin intervención del usuario, lo que aumenta el riesgo de que aplicaciones maliciosas se propaguen a lo largo del dispositivo infectado.
Aunque todavía no se ha determinado con certeza cómo comenzó la infección, se sospecha que puede estar relacionada con dos factores: la utilización de firmware no oficial con acceso root incorporado o alguna vulnerabilidad previamente comprometida que permite a los atacantes obtener privilegios de superusuario (root).
Es importante señalar que los dispositivos afectados no están certificados por Google Play Protect, lo que significa que no han pasado las pruebas de seguridad y compatibilidad que Google exige a los dispositivos Android certificados. De hecho, Google ha emitido una declaración confirmando que los dispositivos infectados probablemente utilizan el código fuente del proyecto Android Open Source Project (AOSP) en lugar de Android TV certificado. Esto permite a los fabricantes utilizar versiones desactualizadas del sistema operativo y modificar el software sin las debidas pruebas de seguridad.
¿Afecta a los televisores con Android TV integrado?
Aunque el informe hasta el momento se ha centrado principalmente en los Android TV Box, que suelen utilizar versiones no certificadas de Android, los televisores Android TV también podrían verse afectados si utilizan versiones antiguas del sistema operativo o firmware no certificados por Play Protect. Sin embargo, los televisores Android certificados por Google deberían tener una mayor protección debido a las actualizaciones de seguridad que estos dispositivos reciben con regularidad.
Por lo tanto, los usuarios de televisores Android certificados tienen menos probabilidades de ser víctimas de este ataque, aunque deben seguir tomando precauciones, como verificar las actualizaciones de firmware y evitar instalar aplicaciones de fuentes no oficiales.
Riesgo de dispositivos con versiones antiguas de Android
El uso de versiones antiguas de Android sigue siendo un problema recurrente, especialmente en dispositivos de bajo costo fabricados por marcas poco conocidas. Según Doctor Web, es común que algunos fabricantes de dispositivos económicos utilicen versiones obsoletas del sistema operativo y las presenten como más recientes, lo que atrae a consumidores desprevenidos.
Estos dispositivos, al no estar certificados y no contar con las medidas de seguridad más recientes, son blancos fáciles para los cibercriminales. Al no tener actualizaciones de seguridad frecuentes, las vulnerabilidades en el sistema permanecen abiertas por largos periodos de tiempo, facilitando el trabajo de los atacantes para comprometer el sistema.
¿Qué pueden hacer los usuarios?
Para protegerse de este tipo de amenazas, es fundamental que los usuarios verifiquen si su dispositivo está certificado por Play Protect. Google proporciona una lista actualizada de socios certificados de Android TV en su página web oficial. Además, los usuarios pueden seguir algunos pasos sencillos para comprobar si su dispositivo es seguro:
- Abre la aplicación de Google Play Store.
- Toca el icono de menú en la parte superior izquierda y selecciona «Play Protect».
- Allí, podrás ver si tu dispositivo está certificado.
Si un dispositivo no está certificado, es recomendable no utilizarlo para aplicaciones sensibles que involucren datos personales o financieros, ya que existe un mayor riesgo de comprometer su seguridad.
En conclusión, el malware Vo1d es una amenaza real y en expansión para los Android TV Box que no cuentan con las medidas de seguridad necesarias. Es esencial que los usuarios estén atentos a las certificaciones de sus dispositivos y, en lo posible, eviten el uso de dispositivos de bajo coste sin soporte oficial o actualizaciones de seguridad. La prevención sigue siendo la mejor herramienta para mantener nuestros dispositivos seguros frente a estas amenazas emergentes.
