网络安全公司大蜘蛛(Dr.Web)在最新发布的博客中提到有一款针对安卓机顶盒的恶意软件正在广泛传播,该恶意软件被命名为Android.Vo1d,在全球197个国家或地区中感染超过130万台设备。

该事件自2024年8月开始,当时大蜘蛛接到多个用户反馈称该安全软件检测到设备系统文件分区发现变化,该问题主要出现在以下型号和固件版本中:

  • 设备名称:R4系统版本:Android7.1.2构建版本:R4Build/NHG47K

  • 设备名称:TVBOX系统版本:Android12.1构建版本:TVBOXBuild/NHG47K

  • 设备名称:KJ-SMART4KVIP系统版本:Android10.1构建版本:SJ-SMART4KVIPBuild/NHG47K

    • 大蜘蛛进行分析后发现所有出现异常的设备的系统分区都出现了四个新文件:

  • /system/xbin/vo1d

  • /system/xbin/wd

  • /system/bin/debuggerd

  • /system/bin/debuggerd_real

    • 其中vo1d和wd文件是木马程序组件,基于这个名称大蜘蛛将该病毒命名为Android.Vo1d的原因,至于黑客选择的名字也有迷惑性,其故意将void中的i改成1,可能是用来迷惑某些用户让用户误以为这是正常文件。

    黑客使用install-recovery.sh脚本在系统启动时运行病毒并且具有root权限,因此可以在这些安卓机顶盒上执行任意操作。

    统计表明此次攻击似乎没有针对特定区域的特点,感染数量最多的国家或地区分别是:

  • 巴西

  • 摩洛哥

  • 巴基斯坦

  • 沙特阿拉伯

  • 俄罗斯

  • 阿根廷

  • 厄瓜多尔

  • 突尼斯

  • 马来西亚

  • 阿尔及利亚

  • 印度尼西亚

    • 目前还不清楚该病毒通过何种方式进行广泛传播,但这些安卓机顶盒运行的多数都是过期的老旧安卓版本,这些版本无法获得安全更新因此现有漏洞可以被利用。

    大蜘蛛安卓版现已将Android.Vo1d添加到定义更新中,如果大蜘蛛具有root访问权限则可以清除病毒,如果没有root权限可能也无法彻底删除病毒。