Investigadores de la firma de seguridad Doctor Web han detectado una infección masiva por malware que afecta a casi 1.3 millones de dispositivos de streaming con versiones de Android de código abierto en alrededor de 200 países. El malware, denominado Android.Vo1d, ha creado un backdoor en estos dispositivos al insertar componentes maliciosos en el área de almacenamiento del sistema, permitiendo la actualización de malware adicional mediante servidores de comando y control.
El malware Android.Vo1d ha aprovechado vulnerabilidades en dispositivos que utilizan versiones del sistema operativo basadas en el Android Open Source Project (AOSP), una versión distinta de Android TV, controlada por Google pero con acceso libre para fabricantes no licenciados. Esto significa que cualquier fabricante puede modificar y distribuir su propio sistema operativo, abriendo la posibilidad de que el malware se introduzca durante el proceso de fabricación o en la cadena de suministro, antes de que los usuarios adquieran los dispositivos.
Doctor Web explica que Android.Vo1d ha infectado modelos de TV boxes con diferentes versiones de firmware y sistemas operativos, entre ellos:
Estas versiones, liberadas en 2016, 2019 y 2022, son susceptibles a ser explotadas mediante vulnerabilidades que permiten la ejecución remota de código malicioso.
Uno de los aspectos más preocupantes de este malware es que Doctor Web aún no ha podido determinar el vector exacto de ataque. Se especula que una de las vías podría ser el uso de firmware no oficial con acceso root incorporado o la explotación de vulnerabilidades del sistema operativo.
Los componentes del malware se ocultan entre archivos del sistema con nombres similares a programas legítimos, como es el caso del archivo /system/xbin/vo1d, que imita al archivo del sistema vold. Además, el malware modifica archivos clave del sistema como install-recovery.sh y daemonsu, asegurando su ejecución automática al reiniciar el dispositivo.
Doctor Web también ha descubierto múltiples variantes de Android.Vo1d, cada una con ligeras diferencias en el código y las áreas de almacenamiento infectadas, pero todas con el mismo objetivo: conectarse a servidores controlados por atacantes e instalar malware adicional cuando lo ordenen.
El malware ha tenido una distribución geográfica extensa, con los países más afectados siendo Brasil, Marruecos, Pakistán, Arabia Saudita, Rusia, Argentina y varios otros en Asia, África y Sudamérica. Sin embargo, no es sencillo para usuarios no experimentados identificar si sus dispositivos están infectados, más allá de utilizar escáneres de malware.
Doctor Web ha confirmado que su software antivirus para Android puede detectar y eliminar las variantes de Android.Vo1d en dispositivos que permiten acceso root. Para usuarios avanzados, la empresa también ha proporcionado indicadores de compromiso que pueden utilizarse para identificar la presencia del malware.