1,3 milhões de boxes Android TV em 197 países foram alegadamente infetadas por um novo malware conhecido como “Vo1d”. Embora a maioria dos dispositivos afetados execute versões desatualizadas do Android, alguns estão equipados com versões relativamente mais recentes do sistema operativo. Não é claro como esta situação aconteceu.
1,3 milhões de boxes Android TV com malware
O malware incorpora-se na área de armazenamento do sistema, permitindo descarregar e instalar software de terceiros remotamente quando comandado por um atacante. A origem do malware é atualmente desconhecida, mas os investigadores suspeitam que possa resultar de um comprometimento anterior que explora as vulnerabilidades do sistema operativo para obter privilégios de root. Também pode ter tido origem em firmware não oficial com acesso root integrado.
Os dispositivos afetados incluem a R4 TV Box com Android 7.1.2, a KJ-SMART4KVIP com Android 10.1 e modelos de TV Box com Android 12.1. Em todos estes casos, as versões do Android estão desatualizadas, contendo potencialmente falhas de segurança não corrigidas que as tornam vulneráveis a ataques de malware. As versões 7.1, 10.1 e 12.1 do Android foram lançadas em 2016, 2019 e 2022.
Embora o malware Vo1d tenha sido detetado em quase todos os países do mundo, o maior número de infeções foi reportado em locais precisos. Falamos no Brasil, Marrocos, Paquistão, Arábia Saudita, Rússia, Argentina, Equador, Tunísia, Malásia, Argélia e Indonésia. O Brasil é o mais atingido, com aproximadamente 28% dos dispositivos infetados em utilização no país.
Google revela versões AOSP desatualizadas
A Google esclareceu que o malware Vo1d afeta apenas os dispositivos que executam o Android Open Source Project (AOSP) e não o seu software proprietário Android TV. Salientou ainda que nenhum dos dispositivos afetados tem certificação Play Protect, o que significa que não foram submetidos a testes de segurança e compatibilidade extensivos.
O Play Protect é um serviço da Google que realiza verificações de segurança nas aplicações antes de serem descarregadas da Play Store. Também verifica os dispositivos em busca de malware potencial de lojas de aplicações de terceiros e APK carregados manualmente.
Se forem detetadas aplicações prejudiciais, o Play Protect desativa-as e notifica o utilizador. Além disso, pode impedir a instalação de aplicações não verificadas, especialmente aquelas que solicitam permissões de dispositivos confidenciais, normalmente alvo dos atacantes para violar a segurança destes dispositivos.