Advertentie
De recent ontdekte malware, genaamd Vo1d, heeft wereldwijd bijna 1,3 miljoen Android-gebaseerde streamingapparaten geïnfecteerd, verspreid over bijna 200 landen.
Deze apparaten (voornamelijk TV boxes) draaien op AOSP, een open-sourceversie van Android, die niet gecertificeerd is door Google. Beveiligingsbedrijf Doctor Web heeft de malware geïdentificeerd en stelt dat de infectie mogelijk via diverse backdoors in de systeembestanden van de apparaten wordt uitgevoerd, waardoor de malware op elk moment kan worden geüpdatet via command-and-control servers.
Backdoor in Android-apparaten
De Vo1d-malware maakt het mogelijk voor aanvallers om via een backdoor toegang te krijgen tot het systeem van de tv-boxen. Via deze weg kunnen ze ongewenste software downloaden en installeren. Het probleem treft verschillende modellen, waaronder de R4 TV Box met Android 7.1.2, de KJ-SMART4KVIP TV Box met Android 10.1, en een tv-box met Android 12.1. Deze modellen draaien op verouderde versies van Android die mogelijk kwetsbaar zijn voor niet gepatchte beveiligingslekken.
Hoewel Doctor Web gedetailleerd inzicht heeft in de werking van de Vo1d-malware, is het exacte aanvalspad nog onduidelijk. De onderzoekers vermoeden dat een intermediate malware gebruikmaakt van kwetsbaarheden in het besturingssysteem om root access te krijgen. Een andere mogelijke oorzaak is het gebruik van niet-officiële firmwareversies die al roottoegang ingebouwd hebben. Het gebruik van verouderde firmware op budgetapparaten, zoals vaak het geval is bij streamingboxen, kan ook een rol spelen bij de kwetsbaarheid van deze apparaten.
De malware-infecties zijn vastgesteld in landen zoals Brazilië, Pakistan, Rusland, Marokko, Saoedi-Arabië, Argentinië, Indonesië, en Maleisië. Hoewel de infecties het meest voorkomen in Zuid-Amerika, Noord-Afrika en het Midden-Oosten, blijft het onduidelijk hoeveel apparaten in Europa en Noord-Amerika zijn getroffen.
Google: apparaten niet Play Protect-gecertificeerd
In een verklaring heeft Google bevestigd dat de geïnfecteerde apparaten niet Play Protect-gecertificeerd zijn. Dit betekent dat de apparaten niet zijn onderworpen aan de testen voor beveiliging en compatibiliteit die door Google worden vereist. "Als een apparaat niet Play Protect-gecertificeerd is, heeft Google geen gegevens over de beveiligings- en compatibiliteitstesten van dat apparaat", aldus een woordvoerder van Google.
Bescherming en aanbevelingen
Om apparaten te beschermen tegen bedreigingen zoals Vo1d, adviseert Google gebruikers om de firmware van hun router en streamingapparaten up-to-date te houden. Dit is met name belangrijk omdat updates vaak beveiligingspatches bevatten voor bekende kwetsbaarheden. Het installeren van antivirussoftware op Android-gebaseerde tv-boxen kan een optie zijn, hoewel het afhankelijk van de situatie en waarde van het apparaat misschien niet altijd de moeite waard is.
Voor gebruikers die overwegen om hun apparaat te vervangen, zijn er verschillende alternatieven beschikbaar van fabrikanten zoals Roku, Apple, Amazon of Google.