Специалисты по кибербезопасности компании XLab зафиксировали беспрецедентную по масштабам вредоносную кампанию: новая версия ботнета Vo1d инфицировала более 1,59 миллиона устройств Android TV в 226 странах. Пик активности вредоносной сети пришелся на 14 января 2025 года, когда число активных ботов достигло максимума. В настоящее время ботнет контролирует около 800 000 устройств.
Эволюция угрозы и технические особенности
Новая версия Vo1d демонстрирует значительное усовершенствование вредоносного кода. Исследователи отмечают внедрение усиленного шифрования, комбинирующего RSA с модифицированным алгоритмом XXTEA. Инфраструктура ботнета использует продвинутый механизм генерации доменов (DGA) с 32 сидами, что позволило создать более 21 000 доменных имен. Командная инфраструктура защищена 2048-битным ключом RSA, делая перехват управления ботнетом практически невозможным.
Географическое распространение и механизмы работы
Анализ географического распределения показывает, что наибольшая концентрация зараженных устройств наблюдается в Бразилии (25%), Южной Африке (13,6%) и Индонезии (10,5%). Примечательны резкие колебания активности в отдельных регионах: например, в Индии количество инфицированных устройств за три дня выросло с 3 900 до 217 000.
Монетизация и вредоносная активность
Основной механизм монетизации ботнета заключается в предоставлении зараженных устройств в качестве прокси-серверов. Операторы Vo1d также используют сеть для рекламного мошенничества, применяя специализированные плагины и SDK Mzmess для имитации действий реальных пользователей. Ботнет способен автоматизировать взаимодействие с рекламными материалами, генерируя фиктивный трафик.
Технические уязвимости и векторы заражения
Эксперты предполагают, что успех распространения Vo1d связан с использованием устаревших версий Android на TV-приставках, где отсутствуют критические обновления безопасности. Точный вектор первичного заражения остается неизвестным, но рассматриваются две основные гипотезы: эксплуатация уязвимостей для получения root-доступа или использование неофициальных прошивок.
Масштаб и сложность ботнета Vo1d представляют серьезную угрозу для кибербезопасности. Его размеры превосходят такие известные ботнеты, как Bigpanzi и оригинальный Mirai. Для защиты устройств Android TV критически важно использовать только официальное ПО, своевременно устанавливать обновления безопасности и применять комплексные меры защиты от вредоносного кода.
