Компанія XLab, що спеціалізується на кібербезпеці, виявила наймасштабнішу за останні роки кібератаку: модифікована версія ботнету Vo1d змогла інфікувати понад 1,59 мільйона Android TV пристроїв у 226 країнах світу. Пікова активність зараження припала на 14 січня 2025 року, коли кількість скомпрометованих пристроїв досягла максимуму. На даний момент під контролем зловмисників залишається близько 800 000 пристроїв.
Технічний аналіз оновленого шкідливого коду
Нова версія Vo1d демонструє суттєве вдосконалення шкідливого програмного забезпечення. Дослідники відзначають впровадження посиленої криптографії, що поєднує RSA з модифікованим алгоритмом XXTEA. Інфраструктура керування ботнетом захищена 2048-бітним ключем RSA, що робить перехоплення контролю над мережею практично неможливим. Система використовує передовий механізм генерації доменів (DGA) з 32 сідами, що дозволило створити мережу з понад 21 000 доменних імен.
Географія поширення та механізми інфікування
Найбільша концентрація заражених пристроїв спостерігається в Бразилії (25%), Південній Африці (13,6%) та Індонезії (10,5%). Особливу увагу привертає динаміка поширення в Індії, де за три дні кількість інфікованих пристроїв зросла з 3 900 до 217 000. Експерти пов’язують такий стрімкий ріст із широким використанням застарілих версій Android TV та відсутністю критичних оновлень безпеки.
Методи монетизації та шкідлива діяльність
Оператори Vo1d використовують заражені пристрої як прокси-сервери та для здійснення рекламного шахрайства. За допомогою спеціалізованих плагінів та SDK Mzmess ботнет імітує дії реальних користувачів, генеруючи фіктивний рекламний трафік. Це дозволяє зловмисникам отримувати значний прибуток від рекламних мереж, які не можуть відрізнити автоматизовані взаємодії від справжніх.
Вразливості та вектори проникнення
Аналіз показує, що успішність поширення Vo1d пов’язана з двома основними факторами: використанням вразливостей для отримання root-доступу та поширенням через неофіційні прошивки. Особливу небезпеку становлять пристрої з застарілими версіями Android TV, де відсутні важливі патчі безпеки та механізми захисту від сучасних загроз.
Масштаб та складність ботнету Vo1d перевершують показники відомих мереж Bigpanzi та Mirai, що свідчить про зростаючу загрозу для екосистеми Android TV. Для захисту пристроїв критично важливо використовувати виключно офіційне програмне забезпечення, регулярно встановлювати оновлення безпеки та застосовувати комплексні рішення для виявлення та блокування шкідливого коду. Виробникам Android TV пристроїв рекомендується посилити механізми перевірки програмного забезпечення та забезпечити своєчасне оновлення системи безпеки.
