1.6 Millones de TVs Android Hackeadas e Infectadas por la Botnet Vo1d en Todo el Mundo

Los investigadores de la firma de ciberseguridad XLab han descubierto que una nueva variante de la masiva botnet “Vo1d” ha infectado a más de 1.6 millones de dispositivos Android TV en más de 200 países y regiones, expandiendo rápidamente su alcance.

Este desarrollo plantea serias preocupaciones sobre la seguridad de los dispositivos del Internet de las Cosas (IoT) y su posible explotación en ciberataques a gran escala.

“Imagina estar sentado en tu sofá viendo la televisión cuando de repente la pantalla parpadea, el control remoto deja de funcionar y el programa es reemplazado por un código distorsionado y comandos inquietantes. Tu TV, como si hubiera sido secuestrada por una fuerza invisible, se convierte en una ‘marioneta digital’. Esto no es ciencia ficción, es una amenaza real y creciente. La botnet Vo1d está tomando silenciosamente el control de millones de dispositivos Android TV en todo el mundo”, escribieron los investigadores de XLab en una publicación de blog el jueves.

Según los hallazgos de los investigadores de XLab, el malware Vo1d, que se dirige principalmente a TVs Android y cajas de televisión, tiene actualmente 800,000 bots activos. La botnet alcanzó un pico de 1,590,299 el 14 de enero de 2025.

La botnet Vo1d explota fallas de seguridad en cajas de Android TV de bajo costo, muchas de las cuales ejecutan software desactualizado.

Una vez infectados, estos dispositivos se integran en una botnet, una red de sistemas secuestrados utilizados para actividades maliciosas como ataques de denegación de servicio distribuido (DDoS), minería de criptomonedas y robo de datos.

Notablemente, el malware opera de manera sigilosa, a menudo sin que los usuarios noten signos inmediatos de infección.

Sin embargo, los dispositivos afectados pueden experimentar un rendimiento degradado, ventanas emergentes inesperadas o actividad de red inusual.

El análisis de XLab reveló que Vo1d emplea técnicas sofisticadas para mejorar su sigilo, resistencia y capacidades de anti-detección:

1. Cifrado Mejorado: El malware utiliza cifrado RSA para las comunicaciones de red, evitando la toma de control (C2) incluso si los dominios DGA son registrados por investigadores.
2. Actualización de Infraestructura: Vo1d incorpora tanto C2s redirigidos codificados como basados en algoritmos de generación de dominios (DGA) para mejorar la flexibilidad y resistencia.
3. Optimización de Entrega de Carga Útil: Cada carga útil se entrega a través de un descargador único, empleando cifrado XXTEA con claves protegidas por RSA, lo que dificulta el análisis y la detección.

La rápida proliferación de la botnet Vo1d subraya las vulnerabilidades inherentes en los dispositivos IoT, particularmente aquellos con medidas de seguridad desactualizadas.

Si bien la botnet Vo1d está diseñada principalmente para obtener ganancias, su control total sobre los dispositivos puede permitir a los atacantes llevar a cabo ciberataques a gran escala u otras actividades criminales.

Por ejemplo, la magnitud de la botnet Vo1d supera amenazas anteriores como Bigpanzi, la botnet original de Mirai, así como el ataque DDoS récord de 5.6 Tbps de Cloudflare en 2024.

Los dispositivos comprometidos podrían ser manipulados para transmitir contenido no autorizado, como lo evidencian incidentes donde se mostraron imágenes generadas por IA en televisores sin autorización.

A partir de febrero de 2025, Brasil representa casi el 25% de las infecciones, seguido de Sudáfrica (13.6%), Indonesia (10.5%), Argentina (5.3%), Tailandia (3.4%) y China (3.1%).

Para protegerse contra tales amenazas, los usuarios de Android TV y cajas de televisión pueden tomar medidas preventivas como asegurarse de que sus dispositivos estén ejecutando el software más reciente, descargar aplicaciones solo de fuentes confiables para minimizar el riesgo de infección por malware, reemplazar las contraseñas predeterminadas por contraseñas fuertes y únicas para mejorar la seguridad del dispositivo, y estar atentos a la actividad de red para detectar patrones inusuales de uso de datos que puedan indicar un dispositivo comprometido.