Vo1d cilja Android TV Box uređaje
Izgleda da su Android TV Box uređaji u opasnosti od specifičnog tipa zlonamjernog softvera poznatog kao Vo1d, pokazuje istraživanje sigurnosne kompanije Doctor Web. Ovaj zlonamjerni softver se infiltrirao se na približno 1,3 miliona uređaja u 197 zemalja, dovodeći brojne korisnike u opasnost od potencijalnog ugrožavanja podataka i kompromitovanja sistema.
VO1D ZLONAMJERNI SOFTVERA
U domenu digitalne zabave, pametni TV Box uređaji za reprodukovanje u realnom vremenu (eng. streaming) postali su sastavni dio svakodnevnog života, nudeći beskrajne sate neprekidnog uživanja. Međutim, ispod njihovog elegantnog eksterijera i interfejsa prilagođenog korisniku krije se skrivena opasnost koje mnogi korisnici ostaju nesvjesni – Vo1d (Android.Vo1d) zlonamjerni softver.
Zlonamjerni akteri koji stoje iza ovog zlonamjernog softvera su posebno odabrali TV Box uređaje kao svoju metu iz nekoliko razloga. Prvo, ovi uređaji često rade na zastarelim verzijama Android operativnog sistema sa ne ispravljenim ranjivostima i više ne dobijaju ažuriranja. Drugo, mnogi proizvođači jeftinih uređaja koriste starije verzije operativnog sistema i obmanjuju potrošače tako što ih predstavljaju kao modernije kako bi njihovi proizvodi izgledali atraktivno.
Nažalost, ova praksa ostavlja ove uređaje ranjivim na Vo1d napade. Dolivanje ulja na vatru je uobičajena percepcija među korisnicima da su TV Box uređaji nekako manje podložni sajber prijetnjama od pametnih telefona. Iako je istina da pametni telefoni imaju tendenciju da budu bolje zaštićeni čestim bezbjednosnim ažuriranjima, ovo pogrešno shvatanje može dovesti do samozadovoljstva korisnika i povećane ranjivosti ovih uređaja.
Ranjivosti
Jedan od razloga zašto su TV Box uređaji za reprodukovanje u realnom vremenu ranjivi je zbog toga što se često upotrebljavaju sa zastarjelim verzijama Android operativnog sistema (kao što su 7.1, 10.1 ili 12.1). Ovi stariji operativni sistemi više nisu podržani ažuriranjima i mogu biti ranjivi na eksploatacije koje daljinski izvršavaju zlonamjerni kôd na njima zbog poznatih bezbjednosnih propusta u ovim zastarelim verzijama, što ih čini lakim metama za zlonamjerne aktere. Pored toga, proizvođači jeftinih uređaja često koriste ove starije verzije operativnog sistema i pogrešno ih predstavljaju kao ažuriranje kako bi uređaji izgledali privlačniji.
Drugi faktor koji doprinosi infekciji je upotreba nezvaničnih verzija upravljačkog softvera (eng. firmware) na ovim uređajima. Neki nebrendirani TV Box uređaji dolaze sa unaprijed instaliranim upravljačkim softverom koji uključuje ugrađeni root pristup, što zlonamjernim akterima olakšava postavljanje zlonamjernog softvera bez potrebe da pronađu ranjivost. Ovo ostavlja uređaje veoma ranjivim na napade zlonamjernog softvera, uključujući Vo1d backdoor.
Najčešći način na koji se zlonamjerni softver unosi je instalacija zlonamjernih Android Package Kit – APK datoteka. Jednom instalirane, ove zlonamjerne aplikacije mogu da obezbijede zlonamjernim akterima potpunu administrativnu kontrolu nad uređajem, omogućavajući im da instaliraju dodatni zlonamjerni softver, izmjene sistemske datoteke i zaobiđu sve ugrađene bezbjednosne mehanizme.
Na kraju, treba uzeti u obzir i da mnogi TV Box uređaji nemaju odgovarajuće bezbjednosne konfiguracije i izloženi su internetu sa otvorenim uslugama ili slabim zaštitnim zidovima, što omogućava zlonamjernim akterima da daljinski iskoriste ove ranjivosti bez ikakve direktne interakcije korisnika. Ovo im omogućava da instaliraju zlonamjerni softver čak i ako korisnik nije preuzeo zlonamjerne aplikacije.
Funkcionisanje
Zlonamjerni softver Vo1d funkcioniše tako nakon infekcije uređaja koristi nekoliko sofisticiranih tehnika za održavanje postojanosti, izvršavanje zlonamjernih radnji i omogućava zlonamjernim akterima da daljinski kontrolišu uređaj. Modifikuje kritične skripte za pokretanje Android operativnog sistema kao što su install-recovery.sh, daemonsu ili debuggerd radi postizanja postojanosti na uređaju, obezbeđujući da se automatski pokreće svaki put kada se uređaj ponovo pokrene.
Specifične verzije Android upravljačkog softvera koje su ciljane u ovoj kampanji uključuju:
- KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K),
- R4 (Android 7.1.2; R4 Build/NHG47K),
- TV BOX (Android 12.1; TV BOX Build/NHG47K).
Sam zlonamjerni softver se nalazi u datotekama wd i void, po kojima je i dobio ime. Njegova glavna funkcionalnost je skrivena u komponentama void (modul Android.Vo1d.1) koja je odgovorna registrovanje automatskog pokretanja u navedenim sistemskim skriptama i wd (modul Android.Vo1d.3) koja obavlja obavlja glavne radnje zlonamjernog softvera, a koje rade zajedno.
C&C server
Povezivanje Vo1d zlonamjernog softvera sa sa serverom za komandu i kontrolu (C&C) omogućava zlonamjernim akterima da imaju daljinski pristup kompromitovanom uređaju. Preko ovog servera, oni mogu da izvršavaju komande na uređaju, preuzimaju i instaliraju dodatni zlonamjerni softver, kradu osjetljive podatke ili špijuniraju aktivnosti korisnika i potencijalno pokrenu napade na druge uređaje povezane na istu mrežu.
Ova mogućnost daljinskog upravljanja čini Vo1d zlonamjerni softver opasnom prijetnjom, jer jednom kada je uređaj zaražen, može se koristiti za razne zlonamjerne aktivnosti kao što je pretvaranje u dio botnet mreže ili korištenje za napad na druge sisteme.
Geografska rasprostranjenost
Prema izvještaju koji su objavili sigurnosni istraživači, Vo1d zlonamjerni softver se infiltrirao u u približno 1,3 miliona TV Box uređaji za reprodukovanje u realnom vremenu koje pokreće Android operativni sistem u u 197 zemalja širom sveta.
Geografska distribucija ovog zlonamjernog softvera je alarmantno rasprostranjena, pri čemu su Brazil, Maroko, Pakistan, Saudijska Arabija, Rusija, Argentina, Ekvador, Tunis, Malezija, Alžir i Indonezija prijavili najveći broj slučajeva. Ovaj globalni domet naglašava hitnu potrebu da korisnici daju prioritet mjerama sajber bezbjednosti kada koriste ove uređaje.
ZAKLJUČAK
Zlonamjerni softver Vo1d predstavlja nekoliko potencijalnih prijetnji za TV Box uređaje za reprodukovanje u realnom vremenu kada se jednom instalira. Ovaj zlonamjerni softver na pogođenom uređaju može kreirati botnet za korištenje u distribuiranim napadima uskraćivanja usluge (eng. distributed denial-of-service – DDoS) ili krađa akreditiva korisničkih naloga i ličnih podataka. Zlonamjerni softver može i da dobije root privilegije iskorišćavanjem ne ispravljenih ranjivosti u zastarelim verzijama Android operativnih sistema.
Nažalost, mnogi korisnici vide TV Box uređaje za reprodukovanje u realnom vremenu kao manje ranjive na sajber napade u poređenju sa pametnim telefonima. Međutim, ovo pogrešno shvatanje može dovesti do lažnog osjećaja sigurnosti i zanemarivanja osnovnih bezbjednosno-higijenskih praksi na ovim uređajima. Važno je zapamtiti da svi povezani uređaji zahtijevaju pažnju kada su u pitanju mjere bezbjednosti.
Od suštinskog je značaja za korisnike Android TV Box uređaja za reprodukovanje u realnom vremenu da daju prioritet bezbjednosnim mjerama i budu informisani o potencijalnim prijetnjama kao što je Vo1d zlonamjerni softver. Ažuriranje uređaja najnovijim verzijama softvera, izbjegavanje nezvaničnog upravljačkog softvera i oprez pri preuzimanju aplikacija iz nepoznatih izvora mogu pomoći u ublažavanju ovih rizika. Preduzimajući proaktivne korake ka obezbjeđivanju svojih TV Box uređaja za reprodukovanje u realnom vremenu, korisnici mogu da se zaštite od sajber napada i održavaju bezbrižnost dok uživaju u svom omiljenom sadržaju.
ZAŠTITA
U digitalnom dobu, od suštinske je važnosti da zaštitite sve svoje uređaje, uključujući i one koji se često smatraju manje ranjivim, kao što su TV Box uređaja za reprodukovanje u realnom vremenu. Nedavna pojava Android Vo1d zlonamjernog softvera služi kao dobar podsjetnik da nijedan uređaj nije imun na sajber prijetnje. Evo nekoliko preporuka o tome kako da se zaštitite od ovog zlonamjernog softvera:
- Ako TV Box uređaja za reprodukovanje u realnom vremenu koristi stariju verziju Android operativnog sistema, uvjeriti se da je ažuriran na najnoviju dostupnu verziju. Proizvođači često prestaju da podržavaju starije verzije, ostavljajući ih ranjivim na napade kao što je Vo1d. Redovna ažuriranja ne samo da pružaju nove funkcije, već i ispravke za bezbjednosne propuste koje bi zlonamjerni softver mogao da iskoristi,
- Baš kao što se na pametnom telefonu to radi, instalirati pouzdanu bezbjednosnu aplikaciju na TV Box uređaja za reprodukovanje u realnom vremenu. Ove aplikacije mogu pomoći u zaštiti od zlonamjernog softvera i zaštititi uređaj. Ne zaboraviti da treba redovno ažurirati ovu aplikaciju kako bi se omogućila maksimalna zaštita,
- Treba se držati zvaničnih verzija upravljačkog softvera koje pružaju pouzdani proizvođači. Nezvanične verzije upravljačkog softvera mogu da sadrže backdoor koji može dozvoliti zlonamjernom softveru kao što je Vo1d da zarazi uređaj,
- Preuzimati aplikacije samo iz pouzdanih izvora, kao što su Google Play prodavnica ili Amazon Appstore za Android TV. Izbjegavati učitavanje aplikacija iz drugih izvora, osim ako niste sigurni u njihov izvor i bezbjednost,
- Uvjeriti se da je uređaj zaštićen jakom lozinkom da bi se spriječio neovlašteni pristup. Razmislite o korišćenju pristupne fraze umjesto jednostavne lozinke, jer ih je teže razbiti,
- Redovno skenirati TV Box uređaja za reprodukovanje u realnom vremenu u potrazi za zlonamjernim softverom pomoću renomirane bezbjednosne aplikacije. Ako se otkriju bilo kakve prijetnje, odmah ih uklonite i razmislite o resetovanju uređaja na fabrička podešavanja ako je potrebno,
- Biti oprezan prilikom unosa ličnih podataka u TV Box uređaja za reprodukovanje u realnom vremenu ili bilo koji drugi povezani uređaj. Navoditi osjetljive podatke samo kada je to apsolutno neophodno i uvjeriti se da je internet lokacija ili usluga bezbjedna (potražiti “https://” u internet adresi),
- Ako je dostupno, omogućiti autentifikaciju u dva koraka (eng. Two-Factor Authentication – 2FA) na uslugama povezanim sa TV Box uređajem za reprodukovanje u realnom vremenu. Ovo dodaje još jedan nivo sigurnosti tako što zahteva drugi oblik verifikacije prilikom prijavljivanja,
- Potrebno je biti informisan o najnovijim prijetnjama u sajber bezbjednosti, kao što je Vo1d Android zlonamjerni softver, prateći renomirane izvore bezbjednosnih vesti. Znanje je moć kada je u pitanju zaštita uređaja!