كشف تقرير حديث صادر عن شركة Dr.Web أن أكثر من 1.3 مليون جهاز بث تلفزيوني يعمل بنظام أندرويد قد تم اختراقه بواسطة برمجية خبيثة تعرف باسم “Vo1d”. تتيح هذه البرمجية للمهاجمين التحكم الكامل في الأجهزة المستهدفة.
نظام التشغيل المستهدف
تعتمد هذه الأجهزة على مشروع نظام تشغيل أندرويد مفتوح المصدر (AOSP)، وهو نظام مفتوح تديره شركة جوجل ويستخدم في الهواتف المحمولة وأجهزة البث وإنترنت الأشياء. إلا أن هذه الأجهزة ليست جزءًا من نظام Android TV الرسمي، الذي تديره جوجل وتضمن معايير حماية وأمان من خلال برنامج Play Protect.
انتشار البرمجية الخبيثة عالميًا
أظهرت الدراسة أن البرمجية الخبيثة أصابت أجهزة في أكثر من 200 دولة، حيث تم تسجيل أكبر عدد من الإصابات في بلدان مثل البرازيل، المغرب، باكستان، السعودية، روسيا، الأرجنتين، الإكوادور، تونس، ماليزيا، الجزائر، وإندونيسيا.
أنظمة التشغيل المستهدفة
استهدفت البرمجية عدة نسخ من أنظمة أندرويد المستخدمة في أجهزة البث، ومن بينها:
- Android 7.1.2
- Android 12.1
- Android 10.1
تستخدم البرمجية الخبيثة ملفات تشغيل رئيسية في النظام مثل install-recovery.sh و daemonsu، وتستبدل ملفات النظام الأخرى مثل debuggerd، لضمان بقائها فعالة حتى بعد إعادة تشغيل الجهاز.
كيفية عمل برمجية Vo1d
تستند البرمجية الخبيثة على ملفات wd و vo1d، حيث يعملان معًا لتنفيذ الهجمات. يتولى ملف Android.Vo1d.1 تشغيل الملف الآخر Android.Vo1d.3 ويقوم بإعادة تشغيله في حال توقفه. كما يمكنه تحميل وتشغيل برمجيات تنفيذية إضافية عند تلقي الأوامر من خادم التحكم.
من جانبه، يقوم ملف Android.Vo1d.3 بتثبيت وتشغيل وحدة مشفرة تُدعى Android.Vo1d.5، ويُمكنه مراقبة مجلدات محددة وتثبيت التطبيقات التي يجدها فيها.
أسباب الإصابة والحلول المقترحة
يعتقد الباحثون أن الأجهزة المستهدفة تعمل بإصدارات قديمة من أندرويد تحتوي على ثغرات أمنية، مما يجعلها عرضة للاختراق. كما يُحتمل أن بعض الأجهزة تستخدم نسخًا غير رسمية من البرمجيات مع صلاحيات root مدمجة مسبقًا، مما يسهل على البرمجيات الخبيثة الوصول إلى النظام.
الوقاية من الهجمات
لتجنب الإصابة بهذه البرمجية، ينصح المستخدمون بتحديث برمجيات أجهزتهم بانتظام عند توفر تحديثات جديدة. كما يجب إزالة أجهزة البث من الاتصال بالإنترنت إذا كانت عرضة للاختراق عبر خدمات مكشوفة. أخيرًا، يُنصح بتجنب تثبيت التطبيقات بصيغة APK من مصادر غير رسمية، حيث تعد مصدرًا شائعًا للبرمجيات الخبيثة.
توضيح من جوجل
صرحت Google أن الأجهزة المصابة ليست من ضمن أجهزة Android TV المعتمدة، وهي أجهزة غير معتمدة من خلال برنامج Play Protect. وأوضحت أن الأجهزة المعتمدة تخضع لاختبارات صارمة لضمان الجودة والأمان.
