Eine neue Version des Vo1d Botnets hat mehr als 1,59 Millionen Android TV-Geräte in 226 Ländern kompromittiert, wie Sicherheitsforscher des XLab-Teams berichten. Die Malware-Kampagne erreichte ihren bisherigen Höhepunkt am 14. Januar 2025 und kontrolliert aktuell etwa 800.000 infizierte Geräte.
Technische Analyse der Vo1d-Evolution
Die aktuelle Iteration des Vo1d Botnets zeichnet sich durch erhebliche technische Verbesserungen aus. Die Infrastruktur implementiert ein fortschrittliches Domain Generation Algorithm (DGA) System mit 32 Seeds, das über 21.000 Domänennamen erzeugen kann. Besonders bemerkenswert ist die Verwendung einer hybriden Verschlüsselungsarchitektur, die RSA mit einem modifizierten XXTEA-Algorithmus kombiniert. Die Command-and-Control-Server werden durch 2048-Bit RSA-Verschlüsselung geschützt.
Globale Verbreitung und Infektionsmuster
Die geografische Verteilung der infizierten Geräte zeigt deutliche Schwerpunkte in Entwicklungsländern: Brasilien führt mit 25% der Infektionen, gefolgt von Südafrika (13,6%) und Indonesien (10,5%). Besonders auffällig war der explosive Anstieg in Indien, wo die Zahl der kompromittierten Geräte innerhalb von 72 Stunden von 3.900 auf 217.000 anstieg.
Monetarisierungsstrategien und Schadfunktionen
Die Betreiber des Botnets haben zwei primäre Einnahmequellen etabliert: Die Vermietung infizierter Geräte als Proxy-Server sowie systematischer Werbebetrug durch automatisierte Klick-Simulation. Hierfür nutzt das Botnet spezialisierte Mzmess-SDK-Module, die authentisches Nutzerverhalten imitieren und damit Werbenetzwerke täuschen.
Infektionsvektoren und Sicherheitslücken
Die massive Verbreitung des Vo1d Botnets basiert hauptsächlich auf der Ausnutzung veralteter Android-Versionen auf Smart-TV-Geräten. Zwei Hauptinfektionswege wurden identifiziert: Die Ausnutzung von Root-Exploits sowie die Verbreitung über manipulierte Custom-ROMs. Die fehlende Implementierung kritischer Sicherheitsupdates auf vielen TV-Geräten begünstigt dabei die Ausbreitung der Malware.
Wer ist betroffen?
Betroffen sind vor allem Nutzer günstiger Android TV-Geräte ohne offizielle Google-Zertifizierung, die häufig mit veralteten Android-Versionen (Android 7–10) ausgeliefert werden. Besonders gefährdet sind Geräte in Brasilien, Indien, Südafrika und Indonesien, die oft keine regelmäßigen Sicherheitsupdates erhalten. Auch Nutzer von Third-Party-Firmware oder Custom-ROMs tragen ein erhöhtes Infektionsrisiko.
Schutzmaßnahmen für Android TV-Nutzer
- Firmware nur aus offiziellen Herstellerquellen installieren und keine Custom-ROMs verwenden
- Alle verfügbaren Sicherheitsupdates umgehend einspielen
- Unbekannte Apps nicht aus Drittquellen installieren (Sideloading vermeiden)
- Netzwerkverkehr des TV-Geräts über eine Firewall oder einen Router mit IDS überwachen
- Geräte ohne aktiven Hersteller-Support durch zertifizierte Android TV-Alternativen ersetzen
Die Bedrohung durch Vo1d unterstreicht die wachsende Bedeutung proaktiver Sicherheitsmaßnahmen im Smart-Home-Bereich. Weitere Details zu IoT-Bedrohungen dokumentiert die MITRE ATT&CK-Wissensdatenbank.
