1,6 Million de téléviseurs Android piratés et infectés par le botnet Vo1d dans le monde

Les chercheurs de la société de cybersécurité XLab ont découvert qu’une nouvelle variante du massive botnet « Vo1d » a infecté plus de 1,6 million de dispositifs Android TV dans plus de 200 pays et régions, étendant rapidement sa portée.

Ce développement soulève de sérieuses inquiétudes concernant la sécurité des dispositifs de l’Internet des objets (IoT) et leur exploitation potentielle dans des cyberattaques à grande échelle.

« Imaginez être assis sur votre canapé à regarder la télévision lorsque soudainement l’écran scintille, la télécommande cesse de fonctionner et le programme est remplacé par du code brouillé et des commandes étranges. Votre télévision, comme si elle était détournée par une force invisible, devient une “marionnette numérique”. Ce n’est pas de la science-fiction, c’est une menace réelle et croissante. Le botnet Vo1d prend silencieusement le contrôle de millions de dispositifs Android TV dans le monde », ont écrit les chercheurs de XLab dans un article de blog jeudi.

Selon les résultats des chercheurs de XLab, le malware Vo1d, qui cible principalement les Android TV et les décodeurs, compte actuellement 800 000 bots actifs. Le botnet a atteint un pic de 1 590 299 le 14 janvier 2025.

Le botnet Vo1d exploite des failles de sécurité dans des boîtiers Android TV à bas prix, dont beaucoup fonctionnent avec des logiciels obsolètes.

Une fois infectés, ces dispositifs sont intégrés dans un botnet, un réseau de systèmes détournés utilisés pour des activités malveillantes telles que des attaques par déni de service distribué (DDoS), le minage de cryptomonnaies et le vol de données.

Notamment, le malware fonctionne de manière furtive, souvent sans que les utilisateurs ne remarquent de signes immédiats d’infection.

Cependant, les dispositifs affectés peuvent connaître une dégradation de la performance, des pop-ups inattendus ou une activité réseau inhabituelle.

L’analyse de XLab a révélé que Vo1d utilise des techniques sophistiquées pour améliorer sa furtivité, sa résilience et ses capacités d’anti-détection :

1. Chiffrement amélioré : Le malware utilise le chiffrement RSA pour les communications réseau, empêchant la prise de contrôle du commandement et du contrôle (C2) même si des domaines DGA sont enregistrés par des chercheurs.
2. Mise à niveau de l’infrastructure : Vo1d intègre à la fois des C2 redirigeurs codés en dur et basés sur des algorithmes de génération de domaine (DGA) pour améliorer la flexibilité et la résilience.
3. Optimisation de la livraison de charge utile : Chaque charge utile est livrée par un téléchargeur unique, utilisant un chiffrement XXTEA avec des clés protégées par RSA, rendant l’analyse et la détection plus difficiles.

La prolifération rapide du botnet Vo1d souligne les vulnérabilités inhérentes aux dispositifs IoT, en particulier ceux avec des mesures de sécurité obsolètes.

Bien que le botnet Vo1d soit principalement conçu pour le profit, son contrôle total sur les dispositifs peut permettre aux attaquants de mener des cyberattaques à grande échelle ou d’autres activités criminelles.

Par exemple, l’ampleur du botnet Vo1d dépasse les menaces précédentes telles que Bigpanzi, le botnet Mirai original, ainsi que l’attaque DDoS record de 5,6 Tbps de Cloudflare en 2024.

Les dispositifs compromis pourraient être manipulés pour diffuser du contenu non autorisé, comme en témoignent des incidents où des séquences générées par IA ont été affichées sur des télévisions sans autorisation.

En février 2025, le Brésil représente près de 25 % des infections, suivi de l’Afrique du Sud (13,6 %), de l’Indonésie (10,5 %), de l’Argentine (5,3 %), de la Thaïlande (3,4 %) et de la Chine (3,1 %).

Pour se protéger contre de telles menaces, les utilisateurs de téléviseurs Android et de décodeurs peuvent prendre des mesures préventives telles que s’assurer que leurs dispositifs fonctionnent avec le dernier logiciel, télécharger des applications uniquement à partir de sources fiables pour minimiser le risque d’infection par des malwares, remplacer les mots de passe par défaut par des mots de passe forts et uniques pour améliorer la sécurité des dispositifs, et surveiller l’activité réseau pour détecter des modèles d’utilisation de données inhabituels qui pourraient indiquer un dispositif compromis.