Zur Zeit macht eine Meldung die Runde: „1,3 Millionen TV-Boxen in Botnetz eingeschleust“.
Zur Unterstützung, wie das Ganze einzuordnen ist, anbei meine Feststellungen und Gedanken.
Meine Quellen findet Ihr am Ende des Beitrags aufgelistet.
Kurz Zusammengefasst:
Bisher sollen angeblich nur Billig-Geräte die eine veraltete Version des quelloffenen
Android Open Source Project (AOSP) als Basis verwenden. Siehe Hierzu den Beitrag von Bleeping Computer (Zitat):
„Google told BleepingComputer that the infected devices are not running Android TV but are instead using the Android Open Source Project (AOSP).“
Es sollen – Stand 12.09.2024 – lediglich 3 Modelle ausgemacht sein, die mit der Malware infiziert sind. Interessanterweise haben diese, obwohl auf verschiedenen ASOP-Versionen basierend immer die gleiche Build-Bezeichnung ihrer Firmware (Quelle Dr.Web):
Modell der betroffenen Set-Top-Box | Firmware-Version |
R4 | Android 7.1.2; R4 Build/NHG47K |
TV BOX | Android 12.1; TV BOX Build/NHG47K |
KJ-SMART4KVIP | Android 10.1; KJ-SMART4KVIP Build/NHG47K |
Leider werden keine Herstellernamen genannt, was wahrscheinlich nahezu unmöglich sein dürfte, da ich durch meine Produkt-Tests gelernt habe: Ein und das Selbe Produkt kann man von zig verschiedenen Anbietern unter verschiedenen Produktnamen online kaufen. Entweder 100% gleich, oder mit minimalen Änderungen in der Gehäuseform oder Farbe eines evtl. vorhandenen Displays.
Wie überprüfe ich, ob ich betroffen bin?
Das ist nicht ganz so leicht zu beantworten:
Wahrscheinlich könnt Ihr eure Box über einen Menü-Punkt „Über“ oder „About“ identifizieren. Dort sollten auch die Build-Informationen zu finden sein.
Was tun wenn?
Falls irgendwo „NHG47K“ steht, würde ich das Gerät sofort abschalten und aus meinem Netzwerk entfernen. Da die Malware Zugriff auf alles in dem Gerät (und möglicherweise bereits in der Netzwerk-Umgebung) hat, ist auf jeden Fall euer WLAN-Passwort zu ändern.
Auch wenn das eventuell einen relativ großen Aufwand bedeutet, solltet ihr das tun!
Sollte die Build-Bezeichnung nur leicht abweichen z.B. „NHG48K“, „NHG46K“ (oder sogar niedriger): Kein Risiko eingehen, bevor nicht vom Hersteller eine Firmware verfügbar ist, bei der eindeutig angegeben ist, dass sie gegen „Vo1d“ und seine Varianten geschützt wurde.
(Das gilt natürlich auch für einen genauen Treffer.)
Weitere Tipp:
Verwendet euer WLAN-Passwort nie als Passwort für den Zugriff auf Geräte (z.B. Admin des Routers etc.) oder WEB-Seiten. Die Malware hat ja wahrscheinlich schon das WLAN-Passwort heraus geschickt. Auch speichern viele Apps das WLAN-Passwort in einer Cloud.
Wie kann man sich vorher schützen?
Durch regelmäßiges Überwachen der Geräte-Aktivitäten im Internet (Gilt für alle Geräte) z.B. durch den Sniffer eurer Fritzbox und der quelloffenen Software Wireshark.
Oft ist das für Laien schwer umsetzbar und auch Wissende können es manchmal auch vergessen oder – da es schon einen gewissen Aufwand bedeutet – nicht engmaschig genug durchführen.
Daher ist der grundlegendste Schutz eigentlich nur durch etwas teurere Einkäufe und renommierte, proprietäre Produkte zu gewährleisten:
- Amazon FireTV
- Apple TV
- Ein Play Protect zertifiertes Gerät mit Android TV
- Magenta TV Stick
- Xiaomi Mi Box S
- Sky Streaming-Box
Im Beitrag von Heise steht eine sehr interessante Passage (Zitat):
„Derweil wird auch nicht ausgeschlossen, dass „Vo1d“ über die Lieferketten auf die Andoid-TV-Boxen gelangt sein könnte. So könnten bereits die Geräte-Hersteller das Programm vorinstalliert haben. Betroffene Nutzer können versuchen das Problem zu beheben, indem sie die neueste Firmware-Version für ihre Android TV Box installieren.“
Quellen:
https://news.drweb-av.de/show/?i=14900&lng=de
https://www.techspot.com/news/104729-vo1d-malware-infects-13-million-android-tv-boxes.html
Weiterführende Infos:
…. Links aus den Quellen und einfach mal „Android.Vo1d“ in der Suchmaschine eurer Wahl als Suchbegriff verwenden.