Sikkerhedseksperter ved stadig ikke, hvordan malwaren er kommet indenfor, men estimerer, at den har inficeret 1,3 millioner Android TV-bokse fordelt over hele verden.
Google forsøger at distancere sig fra 'Android TV'-navnet ved nu at promovere 'Google TV' – måske med god grund.
Sidste år kom det frem, at over 20 millioner kinesiske Android TV-bokse er inficeret med den såkaldte 'Badbox' malware.
Det skal slås fast: Disse bokse kører AOSP (Android Open Source Project) og ikke Googles certificerede 'Android TV' eller 'Google TV' som Chromecast og Nvidia Shield. Det er præcis dér, problemet ligger – i AOSP's åbne struktur. Du kan genkende dem på deres modificerede brugerflade, der afviger fra den, Google dikterer på alle officielle 'Android TV' og 'Google TV'.
Ny Android Vo1d malware
Sikkerhedsfirmaet Doctor Web har nu opdaget en ny malware kaldet Android.Vo1d, der har inficeret knap 1,3 millioner Android TV-bokse. Det skriver mediet Ars Technica.
- "Doctor Web-eksperter har afsløret endnu et tilfælde af en infektion i en Android-baseret TV-boks. Malwaren, kaldet Android.Vo1d, har inficeret næsten 1,3 millioner enheder tilhørende brugere i 197 lande. Det er en bagdør, der placerer sine komponenter i systemets lager, og når angriberne giver kommandoer, er den i stand til hemmeligt at downloade og installere tredjepartssoftware."
I næsten 200 lande
Botnettet kan opdateres via en server, der kan installere yderligere malware i de inficerede bokse. Det største antal infektioner er opdaget i Brasilien, Marokko, Pakistan, Saudi-Arabien, Rusland, Argentina, Ecuador, Tunesien, Malaysia, Algeriet og Indonesien.
Boksene er kendt som R4, 'TV Box' og KJ-Smart4KVIP, med build-nummber NHG47K. Flere varianter af disse bokse forventes at eksistere under andre navne. De kører open-source Android version 7, 10 eller 12.
- "I øjeblikket er kilden til TV-boksens bagdørsinfektion ukendt. En mulig infektionsvektor kunne være et angreb af en mellem-malware, der udnytter sårbarheder i operativsystemet til at opnå root-rettigheder. En anden mulig vektor kunne være brugen af uofficielle firmwareversioner med indbygget root-adgang," skriver Dr. Web.
Google har sendt følgende udtalelse til Ars Technica:
- "Disse off-brand enheder, der er blevet opdaget som inficerede, var ikke Play Protect-certificerede Android-enheder. Hvis en enhed ikke er Play Protect-certificeret, har Google ikke en registrering af sikkerheds- og kompatibilitetstestresultaterne. Play Protect-certificerede Android-enheder gennemgår omfattende test for at sikre kvalitet og brugersikkerhed."
- Kilde: Dr. Web, Ars Technica
