1,6 Millionen Android-TVs weltweit gehackt und vom Vo1d-Botnetz infiziert

Forscher der Cybersicherheitsfirma XLab haben entdeckt, dass eine neue Variante des massiven Botnetzes „Vo1d“ über 1,6 Millionen Android-TV-Geräte in mehr als 200 Ländern und Regionen infiziert hat und sich schnell ausbreitet.

Diese Entwicklung wirft ernsthafte Bedenken hinsichtlich der Sicherheit von Internet-of-Things (IoT)-Geräten und ihrer potenziellen Ausnutzung in großangelegten Cyberangriffen auf.

„Stellen Sie sich vor, Sie sitzen auf Ihrer Couch und schauen fern, als plötzlich der Bildschirm flackert, die Fernbedienung nicht mehr funktioniert und das Programm durch verzerrten Code und unheimliche Befehle ersetzt wird. Ihr Fernseher, als wäre er von einer unsichtbaren Kraft entführt worden, wird zu einer „digitalen Puppe“. Das ist keine Science-Fiction – es ist eine reale und wachsende Bedrohung. Das Vo1d-Botnetz übernimmt stillschweigend die Kontrolle über Millionen von Android-TV-Geräten weltweit“, schrieben die XLab-Forscher in einem Blogbeitrag am Donnerstag.

Laut den Erkenntnissen der XLab-Forscher hat die Vo1d-Malware, die hauptsächlich Android-TVs und Set-Top-Boxen angreift, derzeit 800.000 aktive Bots. Das Botnetz erreichte am 14. Januar 2025 einen Höhepunkt von 1.590.299.

Das Vo1d-Botnetz nutzt Sicherheitsanfälligkeiten in kostengünstigen Android-TV-Boxen aus, von denen viele mit veralteter Software betrieben werden.

Sobald diese Geräte infiziert sind, werden sie in ein Botnetz integriert – ein Netzwerk von gehackten Systemen, das für böswillige Aktivitäten wie Distributed Denial-of-Service (DDoS)-Angriffe, Kryptowährungs-Mining und Datendiebstahl verwendet wird.

Bemerkenswert ist, dass die Malware heimlich arbeitet, oft ohne dass die Benutzer sofortige Anzeichen einer Infektion bemerken.

Betroffene Geräte können jedoch eine verschlechterte Geräteleistung, unerwartete Pop-ups oder unerwartete Netzwerkaktivitäten erfahren.

Die Analyse von XLab ergab, dass Vo1d ausgeklügelte Techniken einsetzt, um seine Heimlichkeit, Widerstandsfähigkeit und Anti-Detektionsfähigkeiten zu verbessern:

1. Verbesserte Verschlüsselung: Die Malware verwendet RSA-Verschlüsselung für Netzwerkkommunikationen, um eine Übernahme von Command and Control (C2) zu verhindern, selbst wenn DGA-Domains von Forschern registriert werden.
2. Infrastruktur-Upgrade: Vo1d integriert sowohl hardcodierte als auch auf Domain-Generierungsalgorithmus (DGA) basierende Redirector-C2s, um Flexibilität und Widerstandsfähigkeit zu verbessern.
3. Optimierung der Payload-Zustellung: Jede Payload wird über einen einzigartigen Downloader geliefert, der XXTEA-Verschlüsselung mit RSA-geschützten Schlüsseln verwendet, was die Analyse und Erkennung erschwert.

Die rasche Verbreitung des Vo1d-Botnetzes unterstreicht die Verwundbarkeiten, die in IoT-Geräten inhärent sind, insbesondere bei solchen mit veralteten Sicherheitsmaßnahmen.

Während das Vo1d-Botnetz hauptsächlich auf Profit ausgelegt ist, kann die vollständige Kontrolle über Geräte Angreifern ermöglichen, großangelegte Cyberangriffe oder andere kriminelle Aktivitäten durchzuführen.

So übertrifft das Vo1d-Botnetz in seiner schieren Größe frühere Bedrohungen wie Bigpanzi, das ursprüngliche Mirai-Botnetz, sowie den rekordverdächtigen DDoS-Angriff von Cloudflare im Jahr 2024 mit 5,6 Tbps.

Kompromittierte Geräte könnten manipuliert werden, um unbefugte Inhalte zu übertragen, wie Vorfälle zeigen, bei denen KI-generierte Aufnahmen ohne Genehmigung auf Fernsehern angezeigt wurden.

Stand Februar 2025 entfallen fast 25 % der Infektionen auf Brasilien, gefolgt von Südafrika (13,6 %), Indonesien (10,5 %), Argentinien (5,3 %), Thailand (3,4 %) und China (3,1 %).

Um sich gegen solche Bedrohungen zu schützen, können Benutzer von Android-TVs und Set-Top-Boxen vorbeugende Maßnahmen ergreifen, wie z. B. sicherzustellen, dass ihre Geräte die neueste Software ausführen, Anwendungen nur aus vertrauenswürdigen Quellen herunterzuladen, um das Risiko einer Malware-Infektion zu minimieren, Standardpasswörter durch starke, einzigartige Passwörter zu ersetzen, um die Gerätesicherheit zu erhöhen, und die Netzwerkaktivität auf ungewöhnliche Datenverbrauchsmuster zu überwachen, die auf ein kompromittiertes Gerät hinweisen könnten.