Почему Vo1d Botnet поражает более 1,59 млн Android TV?

В январе 2025 года Vo1d Botnet достиг пика — 1 590 299 заражённых устройств Android TV по всему миру, охватывая 226 стран и регионов, включая Бразилию, Южную Африку, Индонезию, Аргентину и Таиланд.
Почему Vo1d Botnet поражает более 1,59 млн Android TV?
Изображение носит иллюстративный характер

Модифицированная версия Vo1d демонстрирует активность 800 000 IP-адресов ежедневно, а в Индии уровень заражения вырос с 3 901 устройства (менее 1%) до 217 771 устройства (18,17%) по состоянию на 25 февраля 2025 года.

Механизмы вредоносного ПО были значительно усовершенствованы: улучшенная скрытность, повышенная устойчивость и противодействие обнаружению достигаются за счёт внедрения RSA-шифрования для защиты сетевых коммуникаций. Каждый загрузчик использует индивидуальную комбинацию XXTEA-шифрования и RSA-защищённых ключей, что затрудняет анализ и лишает исследователей возможности захватить управление даже при регистрации доменов, сгенерированных DGA.

Инфраструктура управления построена на Redirector C2-механизме, который обеспечивает передачу реального адреса C2-сервера. Жёстко закодированный Redirector C2 в сочетании с большим пулом доменов, генерируемых алгоритмом DGA, позволяет поддерживать мобильность ботнета и сохранять его работоспособность несмотря на попытки блокировки.

Впервые Vo1d был задокументирован Doctor Web в сентябре 2024 года. Инфицирование происходит через бэкдор, нацеленный на Android ТВ-приставки, способный загружать дополнительные исполняемые файлы по командам C2-сервера. Возможными векторами заражения являются атаки на цепочки поставок и использование неофициальных прошивок с доступом root, о чем заявил Google при указании на то, что заражённые «off-Brand» ТВ-модели не имеют сертификата Play Protect.

Операция масштабируется до создания прокси-сети для осуществления кликфрода в рекламе, а также подготовки к возможным масштабным кибератакам, таким как DDoS и несанкционированная трансляция контента. Быстрые колебания активности ботов обусловлены моделью «аренда-возврат», когда инфраструктура сдается в аренду другим преступным группировкам.

Анализ новой итерации ELF-малвари (обозначенной как s63) выявил её способность загружать, дешифровать и исполнять вторичный пакет (ts01), включающий компоненты , cv, vo1d и x.apk. Скрипт инициирует работу модуля cv, который запускает vo1d — ключевой компонент для дешифровки и загрузки payload, обеспечивающий подключение к C2-серверу и загрузку нативной библиотеки.

Для маскировки своей деятельности вредоносное приложение именуется «com.google.android.gms.stable», что имитирует настоящие Google Play Services (com.google.android.gms) и обеспечивает автозапуск после каждой перезагрузки через прослушивание события BOOT_COMPLETED. Дополнительно запускаются два компонента, функционально схожих с vo1d, что позволяет установить цепочку атаки и распространить модульное Android-малвари Mzmess.

Mzmess делится на четыре плагина: Popa (com.app.mz.popan) и Jaguar (com.app.mz.jaguarn) предоставляют прокси-сервисы, Lxhwdg (com.app.mz.lxhwdgn) остаётся загадкой из-за неработающего C2-сервера, а Spirit (com.app.mz.spiritn) участвует в продвижении рекламы и искусственном увеличении веб-трафика. По словам QiAnXin XLab, «Vo1d эволюционировал для повышения скрытности, устойчивости и противодействия обнаружению. Его основная функциональность осталась неизменной, однако претерпела существенные обновления в сетевых механизмах, особенно благодаря внедрению Redirector C2. На данный момент Vo1d используется для получения прибыли, но его полный контроль над устройствами позволяет злоумышленникам переходить к масштабным кибератакам или другим преступным действиям, таким как DDoS».


Новое на сайте

20276Как один npm-пакет для защиты кода сам стал источником заражения? 20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать... 20262Дыра в Defender: как гонка процессов открывала путь к правам SYSTEM, а заплатка принесла...
Ссылка