В январе 2025 года Vo1d Botnet достиг пика — 1 590 299 заражённых устройств Android TV по всему миру, охватывая 226 стран и регионов, включая Бразилию, Южную Африку, Индонезию, Аргентину и Таиланд.
Модифицированная версия Vo1d демонстрирует активность 800 000 IP-адресов ежедневно, а в Индии уровень заражения вырос с 3 901 устройства (менее 1%) до 217 771 устройства (18,17%) по состоянию на 25 февраля 2025 года.
Механизмы вредоносного ПО были значительно усовершенствованы: улучшенная скрытность, повышенная устойчивость и противодействие обнаружению достигаются за счёт внедрения RSA-шифрования для защиты сетевых коммуникаций. Каждый загрузчик использует индивидуальную комбинацию XXTEA-шифрования и RSA-защищённых ключей, что затрудняет анализ и лишает исследователей возможности захватить управление даже при регистрации доменов, сгенерированных DGA.
Инфраструктура управления построена на Redirector C2-механизме, который обеспечивает передачу реального адреса C2-сервера. Жёстко закодированный Redirector C2 в сочетании с большим пулом доменов, генерируемых алгоритмом DGA, позволяет поддерживать мобильность ботнета и сохранять его работоспособность несмотря на попытки блокировки.
Впервые Vo1d был задокументирован Doctor Web в сентябре 2024 года. Инфицирование происходит через бэкдор, нацеленный на Android ТВ-приставки, способный загружать дополнительные исполняемые файлы по командам C2-сервера. Возможными векторами заражения являются атаки на цепочки поставок и использование неофициальных прошивок с доступом root, о чем заявил Google при указании на то, что заражённые «off-Brand» ТВ-модели не имеют сертификата Play Protect.
Операция масштабируется до создания прокси-сети для осуществления кликфрода в рекламе, а также подготовки к возможным масштабным кибератакам, таким как DDoS и несанкционированная трансляция контента. Быстрые колебания активности ботов обусловлены моделью «аренда-возврат», когда инфраструктура сдается в аренду другим преступным группировкам.
Анализ новой итерации ELF-малвари (обозначенной как s63) выявил её способность загружать, дешифровать и исполнять вторичный пакет (ts01), включающий компоненты , cv, vo1d и x.apk. Скрипт инициирует работу модуля cv, который запускает vo1d — ключевой компонент для дешифровки и загрузки payload, обеспечивающий подключение к C2-серверу и загрузку нативной библиотеки.
Для маскировки своей деятельности вредоносное приложение именуется «com.google.android.gms.stable», что имитирует настоящие Google Play Services (com.google.android.gms) и обеспечивает автозапуск после каждой перезагрузки через прослушивание события BOOT_COMPLETED. Дополнительно запускаются два компонента, функционально схожих с vo1d, что позволяет установить цепочку атаки и распространить модульное Android-малвари Mzmess.
Mzmess делится на четыре плагина: Popa (com.app.mz.popan) и Jaguar (com.app.mz.jaguarn) предоставляют прокси-сервисы, Lxhwdg (com.app.mz.lxhwdgn) остаётся загадкой из-за неработающего C2-сервера, а Spirit (com.app.mz.spiritn) участвует в продвижении рекламы и искусственном увеличении веб-трафика. По словам QiAnXin XLab, «Vo1d эволюционировал для повышения скрытности, устойчивости и противодействия обнаружению. Его основная функциональность осталась неизменной, однако претерпела существенные обновления в сетевых механизмах, особенно благодаря внедрению Redirector C2. На данный момент Vo1d используется для получения прибыли, но его полный контроль над устройствами позволяет злоумышленникам переходить к масштабным кибератакам или другим преступным действиям, таким как DDoS».
Изображение носит иллюстративный характер
Модифицированная версия Vo1d демонстрирует активность 800 000 IP-адресов ежедневно, а в Индии уровень заражения вырос с 3 901 устройства (менее 1%) до 217 771 устройства (18,17%) по состоянию на 25 февраля 2025 года.
Механизмы вредоносного ПО были значительно усовершенствованы: улучшенная скрытность, повышенная устойчивость и противодействие обнаружению достигаются за счёт внедрения RSA-шифрования для защиты сетевых коммуникаций. Каждый загрузчик использует индивидуальную комбинацию XXTEA-шифрования и RSA-защищённых ключей, что затрудняет анализ и лишает исследователей возможности захватить управление даже при регистрации доменов, сгенерированных DGA.
Инфраструктура управления построена на Redirector C2-механизме, который обеспечивает передачу реального адреса C2-сервера. Жёстко закодированный Redirector C2 в сочетании с большим пулом доменов, генерируемых алгоритмом DGA, позволяет поддерживать мобильность ботнета и сохранять его работоспособность несмотря на попытки блокировки.
Впервые Vo1d был задокументирован Doctor Web в сентябре 2024 года. Инфицирование происходит через бэкдор, нацеленный на Android ТВ-приставки, способный загружать дополнительные исполняемые файлы по командам C2-сервера. Возможными векторами заражения являются атаки на цепочки поставок и использование неофициальных прошивок с доступом root, о чем заявил Google при указании на то, что заражённые «off-Brand» ТВ-модели не имеют сертификата Play Protect.
Операция масштабируется до создания прокси-сети для осуществления кликфрода в рекламе, а также подготовки к возможным масштабным кибератакам, таким как DDoS и несанкционированная трансляция контента. Быстрые колебания активности ботов обусловлены моделью «аренда-возврат», когда инфраструктура сдается в аренду другим преступным группировкам.
Анализ новой итерации ELF-малвари (обозначенной как s63) выявил её способность загружать, дешифровать и исполнять вторичный пакет (ts01), включающий компоненты , cv, vo1d и x.apk. Скрипт инициирует работу модуля cv, который запускает vo1d — ключевой компонент для дешифровки и загрузки payload, обеспечивающий подключение к C2-серверу и загрузку нативной библиотеки.
Для маскировки своей деятельности вредоносное приложение именуется «com.google.android.gms.stable», что имитирует настоящие Google Play Services (com.google.android.gms) и обеспечивает автозапуск после каждой перезагрузки через прослушивание события BOOT_COMPLETED. Дополнительно запускаются два компонента, функционально схожих с vo1d, что позволяет установить цепочку атаки и распространить модульное Android-малвари Mzmess.
Mzmess делится на четыре плагина: Popa (com.app.mz.popan) и Jaguar (com.app.mz.jaguarn) предоставляют прокси-сервисы, Lxhwdg (com.app.mz.lxhwdgn) остаётся загадкой из-за неработающего C2-сервера, а Spirit (com.app.mz.spiritn) участвует в продвижении рекламы и искусственном увеличении веб-трафика. По словам QiAnXin XLab, «Vo1d эволюционировал для повышения скрытности, устойчивости и противодействия обнаружению. Его основная функциональность осталась неизменной, однако претерпела существенные обновления в сетевых механизмах, особенно благодаря внедрению Redirector C2. На данный момент Vo1d используется для получения прибыли, но его полный контроль над устройствами позволяет злоумышленникам переходить к масштабным кибератакам или другим преступным действиям, таким как DDoS».
