内容摘要：近日，有攻击者使用一种新的 Vo1d 后门恶意软件感染了 130 余万台安卓电视流媒体盒，使得攻击者能够完全控制这些设备。Android TV是谷歌针对智能电视和流媒体设备推出的操作系统，为电视和远程

近日 ，新型有攻击者使用一种新的意软已中 Vo1d 后门恶意软件感染了 130 余万台安卓电视流媒体盒 ，使得攻击者能够完全控制这些设备 。光超

Android TV是安卓谷歌针对智能电视和流媒体设备推出的操作系统，为电视和远程导航提供了优化的电视用户界面 ，集成了谷歌助手，设备内置Chromecast ，新型支持电视直播，意软已中并能安装应用程序  。光超

该操作系统为包括 TCL、安卓海信和 Vizio 电视在内的电视众多制造商提供智能电视功能。它还是高防服务器设备英伟达 Shield 等独立电视流媒体设备的操作系统 。

在 Dr.Web 的新型最新报告中 ，研究人员发现有 200 多个国家的意软已中 130 万台设备都感染了 Vo1 d 恶意软件 ，其中在巴西 、光超摩洛哥、巴基斯坦、沙特阿拉伯、俄罗斯、阿根廷、厄瓜多尔、突尼斯 、马来西亚 、阿尔及利亚和印度尼西亚检测到的源码库数量最多。

受 Vo1d 感染电视盒的地理分布  ，图源：Dr.Web

在此次恶意软件活动中 ，被视为目标的安卓电视固件包括：

安卓 7.1.2；R4 版本/NHG47K安卓 12.1；电视盒版本/NHG47K安卓 10.1；KJ-SMART4KVIP Build/NHG47K

根据安装的 Vo1d 恶意软件版本
，该活动将修改或替换操作系统文件
，所有这些文件都是 Android TV 中常见的启动脚本。install-recovery.shdaemonsudebuggerd

修改后的 install-recovery.sh 文件，图源：Dr.Web

该恶意软件活动利用这些脚本实现持久性  ，并在启动时激活Vo1d恶意软件。 Vo1d恶意软件本身位于文件中 ，模板下载这些文件的名称就是以该恶意软件命名的。Dr.Web解释称 ，Android.Vo1d的主要功能隐藏在其vo1d（Android.Vo1d.1）和wd（Android.Vo1d.3）组件中，这两个组件协同工作 。

Android.Vo1d.1模块负责启动Android.Vo1d.3并控制其活动，必要时重启其进程。此外 ，它还可以在C&C服务器的指令下下载并运行可执行文件。

Android.Vo1d.3 模块负责安装并启动加密并存储在其体内的 Android.Vo1d.5 守护进程
。该模块还可以下载并运行可执行文件。免费模板此外
，它监控指定的目录，并安装在其中找到的 APK 文件。

尽管 Dr.Web 尚不清楚 Android 电视流媒体设备是如何被入侵的，但研究人员认为，这些设备之所以成为攻击目标 ，是因为它们通常运行着带有漏洞的过时软件。

Dr.Web 认为，其中最有可能的感染途径或许是建站模板中间恶意软件的攻击，该软件利用操作系统漏洞来获取 root 权限。另一个可能的途径可能是使用内置 root 访问权限的非官方固件版本。

为了防止这种恶意软件的感染，建议 Android 电视用户检查并安装新固件更新。同时确保在它们通过暴露的服务被远程利用的情况下 ，将这些设备从互联网上移除。

此外，用户也应避免在 Android 电视上从第三方网站安装 APK 形式的香港云服务器 Android 应用程序，因为它们是恶意软件的常见来源。