Doctor Webは29月12日(現地時間)、「Void captures over a million Android TV boxes」において、Android TVボックスから新しいマルウェア「Android.Vo1d」を発見したと報じた。すでに世界中のデバイスに感染していることが確認されており注意が必要。

  • Void captures over a million Android TV boxes

    Void captures over a million Android TV boxes

マルウェア「Android.Vo1d」

Doctor Webの分析によるとマルウェア「Android.Vo1d」はトロイの木馬とされる。3つのコンポーネントで構成され、複数の手段で永続性を確保する。これまでのところ、初期の感染経路は明らかになっていない。

攻撃者は何らかの方法でデバイスへのアクセスを確保し、管理者権限を取得してマルウェアを展開したとみられている。被害報告のあったデバイスにはAndroid 7など古いバージョンを実行しているものがあり、脆弱性を悪用された可能性がある。

マルウェアには少なくとも次の機能があるという。

  • マルウェアコンポーネントの動作を監視し、必要に応じて再起動する
  • コマンド&コントロール(C2: Command and Control)サーバに接続し、実行可能ファイルをダウンロードして実行する
  • 追加コンポーネントを展開して実行する
  • 特定ディレクトリに存在するAPKファイルをインストールする

感染したデバイスには新たに次のファイルが追加される。これらファイル(マルウェア本体)が1つでも存在する場合は、すでに感染している可能性がある。ただし、一部の感染事例においてファイル名に若干の違いがあるとの報告がある。

  • /system/xbin/vo1d
  • /system/xbin/wd
  • /system/bin/debuggerd
  • /system/bin/debuggerd_real

影響と対策

Doctor Webの調査によると、このマルウェアは世界197カ国のデバイス、約130万台からすでに感染が確認されている。感染台数の最も多い国はブラジル(約28.0%)で、これにモロッコ(約7.0%)、パキスタン(5.1約%)、サウジアラビア(約4.9%)が続く。

  • 感染上位国の一覧 - 引用:Doctor Web

    感染上位国の一覧 引用:Doctor Web

Doctor Webはマルウェアへの感染を防止するために、デバイスを最新バージョンへアップデートし、Android向けアンチウイルスソフトウェアを導入するように推奨している。また、セキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「malware-iocs/Android.Vo1d at master · DoctorWebLtd/malware-iocs · GitHub」にて公開しており、必要に応じて活用することが望まれている。