Selon les spécialistes en cybersécurité de Dr.Web, 1,3 million de box TV fonctionnant sous Android open-source (AOSP) sont actuellement infectées par un nouveau malware baptisé Vo1d. Cette menace s’étend sur plus de 200 pays, avec une prévalence marquée en Amérique du Sud, en Afrique du Nord et au Moyen-Orient. Les pays les plus touchés comprennent le Brésil, le Maroc, le Pakistan, l’Arabie saoudite, la Russie et l’Indonésie.
Un malware en expansion mondiale
Le malware Vo1d exploite des vulnérabilités présentes dans des systèmes Android obsolètes pour prendre le contrôle total des appareils. Les modèles de box TV concernés incluent des boîtiers fonctionnant sous Android 7.1.2, Android 10.1 et Android 12.1. Parmi les appareils identifiés figurent les modèles R4 et KJ-SMART4KVIP, au cas où ça vous dit quelque chose. Le malware modifie les fichiers système critiques afin de s’assurer qu’il se relance à chaque démarrage de l’appareil.
L’infection par Vo1d permet aux cybercriminels d’accéder à distance aux appareils pour y installer des logiciels malveillants supplémentaires, en modifiant des scripts importants du système d’exploitation. D’après Dr.Web, le malware se compose de plusieurs modules : « Android.Vo1d.1 » et « Android.Vo1d.3 », qui travaillent de concert pour s’assurer du bon fonctionnement du programme malveillant. Ces modules permettent aux attaquants de télécharger et d’exécuter d’autres fichiers à distance, tout en surveillant des répertoires spécifiques pour installer des fichiers APK infectés.
Il est encore difficile de dire avec certitude comment les boîtiers sont infectés, mais Dr.Web suggère deux voies possibles : soit les attaquants exploitent des failles dans les versions obsolètes d’Android pour obtenir des privilèges root, soit les appareils sont vendus avec des firmwares non officiels qui incluent des accès privilégiés.
Les appareils concernés ne sont pas certifiés par Google Play Protect, selon un porte-parole de Google. Cela signifie qu’ils n’ont pas subi les tests de sécurité et de compatibilité nécessaires pour garantir la sécurité des utilisateurs. Google recommande aux utilisateurs de vérifier si leurs appareils sont certifiés via la plateforme Android TV et de consulter la liste des partenaires officiels.
Pour éviter d’être victime de ce type de malware, il est essentiel de maintenir les appareils à jour. Les mises à jour de firmware permettent de combler les failles de sécurité exploitées par Vo1d. Il est également recommandé de désactiver la connexion Internet des box si elles ne sont pas utilisées, afin de limiter les risques d’exploitation à distance. Enfin, il est vivement déconseillé d’installer des applications Android à partir de sources tierces, car elles peuvent être un vecteur de logiciels malveillants.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Ô ironie.
“Pour éviter d’être victime de ce type de malware, il est essentiel de maintenir les appareils à jour”. Oui, mais envoyez-donc cette phrase aux constructeurs, les utilisateurs n’y sont pour rien.
Et pour les utilisateurs qui vont faire l’effort (assez risqué pour une box) d’installer une version plus récente d’Android, et donc forcément non officielle, et bien… “Les appareils concernés ne sont pas certifiés par Google Play Protect”. Sécurité en carton.