Зомби на продажу: Vo1d собрал армию из 1,5 миллиона TV-приставок

Ботнет Vo1d, атакующий устройства на базе Android TV, продолжает стремительно развиваться, уже заразив более 1,5 млн устройств в 226 странах. По данным XLab, ботнет используется для организации анонимных прокси-сетей и достиг пика активности 14 января 2025 года, имея на тот момент 800000 активных ботов.

Первая масштабная атака Vo1d была зафиксирована специалистами Dr. Web в сентябре 2024 года, когда было выявлено 1,3 миллиона заражённых устройств в 200 странах. Однако нынешняя кампания показывает, что после раскрытия ботнет только расширил свои масштабы.

Разработчики Vo1d внедрили продвинутые механизмы защиты, включая шифрование RSA и кастомизированный алгоритм XXTEA, а также отказоустойчивую инфраструктуру, основанную на алгоритме генерации доменов (DGA). Это значительно усложняет обнаружение и уничтожение ботнета.

Один из крупнейших ботнетов последних лет

Vo1d превосходит по масштабу многие известные ботнеты – Bigpanzi, Mirai и тот, что стоял за рекордной DDoS-атакой мощностью 5,6 Тбит/с в 2024 году. Наибольшее число заражений зафиксировано в Бразилии — (25%), далее следуют Южная Африка (13,6%), Индонезия (10,5%), Аргентина (5,3%), Таиланд (3,4%) и Китай (3,1%). Особенно резкий всплеск был отмечен в Индии, где за 3 дня количество заражённых устройств выросло с 3900 до 217000.

Исследователи XLab полагают, что причиной таких скачков является механизм «аренды и возврата» - Vo1d сдаёт свою ботнет-инфраструктуру в аренду другим группам в определённых регионах. По похожей схеме работал сервис 911 S5, против которого Минюст США ввел санкции в 2024 году.

Предположительно, механизм продажи услуг прокси XLab работает так:

• Фаза аренды. В начале периода аренды боты перенаправляются из основной сети Vo1d для выполнения операций арендатора, что приводит к внезапному снижению количества заражённых устройств в активном пуле Vo1d, так как боты временно выводятся из его контроля.
• Фаза возврата. После окончания аренды боты возвращаются в сеть Vo1d. Такой процесс реинтеграции вызывает резкий рост числа заражённых устройств, так как боты вновь становятся активными под управлением Vo1d.

Масштаб инфраструктуры управления и контроля (C2) также впечатляет: в ходе операции используются 32 исходных значения (seed) алгоритма генерации доменов (DGA) для создания более 21000 C2-доменов C2. Связь между ботами и C2-серверами защищена 2048-битным RSA-ключом, что делает невозможным перехват и подмену команд даже при выявлении домена.

Помимо создания анонимных прокси-сетей, Vo1d также используется для кликфрода и накрутки просмотров рекламы. Ботнет способен эмулировать активность пользователей, генерируя клики и просмотры для мошеннических рекламодателей. В этом помогают специальные плагины, имитирующие поведение реальных пользователей, и платформа Mzmess SDK, распределяющая задачи между ботами.

Как защитить Android TV от заражения

Несмотря на широкое распространение Vo1d, пользователи Android TV могут минимизировать риск заражения, придерживаясь ряда простых мер безопасности.

1. Покупка устройств у проверенных производителей и официальных продавцов. Это снижает вероятность предустановленного вредоносного ПО.
2. Регулярные обновления прошивки и системы безопасности. Обновления устраняют уязвимости, которыми могут воспользоваться злоумышленники.
3. Избегание установки приложений вне Google Play. Использование сторонних магазинов или кастомных прошивок повышает риск заражения.
4. Отключение удалённого доступа. Если функция не используется, её лучше деактивировать, чтобы исключить возможность удалённого управления.
5. Изоляция IoT-устройств. Размещение Android TV в отдельной сети поможет защитить другие устройства, содержащие конфиденциальные данные.

Vo1d продолжает оставаться одной из крупнейших угроз для устройств на базе Android TV, и пока неясно, какие новые способы заражения могут использовать операторы ботнета. Однако грамотный подход к кибербезопасности может значительно снизить вероятность стать частью вредоносной сети.