A Vo1d botnet 1,6 millió Android TV-t fertőzött meg világszerte
A Vo1d malware botnet új változata 226 országban 1 590 299 Android TV készüléket fertőzött meg, amelyek anonim proxy szerver hálózatok részeként toboroznak eszközöket. Az Xlab blogbejegyzése szerint tavaly november óta követi az új kampányt, és arról számolt be, hogy a botnet 2025. január 14-én érte el a csúcspontját, és jelenleg 800 000 aktív botot számlál. 2024 szeptemberében a Dr. Web kutatói 200 országban 1,3 millió eszközt azonosítottak, amelyeket kompromittált a Vo1d malware egy ismeretlen fertőzési vektoron keresztül.
A Vo1d botnet egy többcélú kiberbűnözési eszköz, amely a kompromittált eszközöket proxy-szerverekké alakítja, hogy felhasználja azokat rosszindulatú kibertevékenységekhez. A fertőzött eszközök rosszindulatú forgalmat továbbítanak, elrejtve a kiberszereplők tevékenységének eredetét, azáltal, hogy elvegyülnek a lakossági hálózati forgalomban. Ez segít a fenyegető szereplők számára a regionális korlátozások, a biztonsági szűrések és más védelmi eszközök kijátszásában is. A Vo1d másik funkciója a hirdetési csalás. A fertőzött eszközökön kattintásokat generálnak videoplatformokon, hogy bevételt generáljanak a hirdetők számára.
A kutatók kiemelik, hogy a botnet fejlett titkosítással (RSA + egyedi XXTEA), rugalmas DGA-alapú infrastruktúrával és továbbfejlesztett lopakodási képességekkel rendelkezik. A Vo1d botnet az utóbbi években látott egyik legnagyobb botnet hálózata, felülmúlja a Bigpanzi-t, az eredeti Mirai műveletet és a Cloudflare által tavaly kezelt 5,6 Tbps-os rekordot jelentő DDoS-támadásért felelős botnetet. 2025 februárjában a fertőzések közel 25%-a a brazil felhasználókat érintette, őket követik a dél-afrikai (13,6%), indonéz (10,5%), argentin (5,3%), thaiföldi (3,4%) és kínai (3,1%) eszközök. A kutatók jelentése szerint a botnetnek jelentős fertőzési hullámai voltak, például Indiában mindössze három nap alatt 3900-ról 217 000 zombira nőtt a botnet létszáma.
A botnet által használt C2 infrastruktúra mérete jelentős: a művelet 32 tartománygeneráló algoritmus (DGA) magot használ több mint 21 000 C2 tartomány létrehozásához. A C2 kommunikációt 2048 bites RSA kulcs védi. A rosszindulatú szoftver speciális pluginokkal rendelkezik, amelyek automatizálják a hirdetési interakciókat és szimulálják az emberhez hasonló böngészési viselkedést.
A leendő Android TV felhasználóknak javasolt ismert gyártóktól és megbízható viszonteladóktól vásárolni az eszközt, hogy minimálisra csökkentsék az előre feltöltött rosszindulatú programok valószínűségét. Emellett kiemelten fontos – amennyiben rendelkezésre áll – a firmware- és biztonsági frissítések telepítése, javasolt kerülni a Google Play-en kívüli alkalmazások vagy harmadik féltől származó alkalmazások telepítését, amelyek kibővített és „feloldott” funkciókat ígérnek. T
Általánosan igaz az okoseszközökre és IoT eszközökre, hogy javasolt elkülöníteni őket hálózati szinten a többi otthoni hálózatra csatlakoztatott eszköztől.
