针对Android机顶盒的Android.Vo1d病毒正在流行 感染超过130万台设备

该事件自 2024 年 8 月开始，当时大蜘蛛接到多个用户反馈称该安全软件检测到设备系统文件分区发现变化，该问题主要出现在以下型号和固件版本中：

• 设备名称：R4 系统版本：Android 7.1.2 构建版本：R4 Build/NHG47K

• 设备名称：TV BOX 系统版本：Android 12.1 构建版本：TV BOX Build/NHG47K

• 设备名称：KJ-SMART4KVIP 系统版本：Android 10.1 构建版本：SJ-SMART4KVIP Build/NHG47K

大蜘蛛进行分析后发现所有出现异常的设备的系统分区都出现了四个新文件：

• /system/xbin/vo1d

• /system/xbin/wd

• /system/bin/debuggerd

• /system/bin/debuggerd_real

其中 vo1d 和 wd 文件是木马程序组件，基于这个名称大蜘蛛将该病毒命名为 Android.Vo1d 的原因，至于黑客选择的名字也有迷惑性，其故意将 void 中的 i 改成 1，可能是用来迷惑某些用户让用户误以为这是正常文件。

黑客使用 install-recovery.sh 脚本在系统启动时运行病毒并且具有 root 权限，因此可以在这些安卓机顶盒上执行任意操作。

统计表明此次攻击似乎没有针对特定区域的特点，感染数量最多的国家或地区分别是：

• 巴西

• 摩洛哥

• 巴基斯坦

• 沙特阿拉伯

• 俄罗斯

• 阿根廷

• 厄瓜多尔

• 突尼斯

• 马来西亚

• 阿尔及利亚

• 印度尼西亚

目前还不清楚该病毒通过何种方式进行广泛传播，但这些安卓机顶盒运行的多数都是过期的老旧安卓版本，这些版本无法获得安全更新因此现有漏洞可以被利用。

大蜘蛛安卓版现已将 Android.Vo1d 添加到定义更新中，如果大蜘蛛具有 root 访问权限则可以清除病毒，如果没有 root 权限可能也无法彻底删除病毒。