160만 대의 안드로이드 TV가 Vo1d 봇넷에 의해 해킹 및 감염됨

사이버 보안 회사 XLab의 연구자들은 대규모 봇넷 “Vo1d”의 새로운 변종이 200개 이상의 국가 및 지역에서 160만 대 이상의 안드로이드 TV 장치에 감염되었다고 발견했습니다. 이로 인해 그 범위가 빠르게 확장되고 있습니다.

이 개발은 사물인터넷(IoT) 장치의 보안과 대규모 사이버 공격에서의 잠재적 악용에 대한 심각한 우려를 불러일으킵니다.

“소파에 앉아 TV를 보고 있을 때 갑자기 화면이 깜박이고 리모컨이 작동을 멈추며 프로그램이 뒤죽박죽된 코드와 섬뜩한 명령으로 대체되는 상황을 상상해 보세요. 마치 보이지 않는 힘에 의해 납치된 것처럼 당신의 TV는 ‘디지털 인형’이 됩니다. 이것은 공상과학 소설이 아닙니다—실제이며 증가하는 위협입니다. Vo1d 봇넷은 전 세계 수백만 대의 안드로이드 TV 장치를 조용히 장악하고 있습니다.”라고 XLab 연구자들은 목요일 블로그 게시물에서 썼습니다.

XLab 연구자들의 발견에 따르면, 주로 안드로이드 TV와 셋톱 박스를 대상으로 하는 Vo1d 악성코드는 현재 800,000개의 활성 봇을 보유하고 있습니다. 이 봇넷은 2025년 1월 14일에 1,590,299로 정점을 찍었습니다.

Vo1d 봇넷은 저렴한 안드로이드 TV 박스의 보안 결함을 악용하며, 이들 중 많은 장치가 구식 소프트웨어를 실행하고 있습니다.

감염되면 이러한 장치는 봇넷에 통합되어 DDoS 공격, 암호화폐 채굴 및 데이터 도용과 같은 악의적인 활동에 사용되는 납치된 시스템의 네트워크가 됩니다.

특히, 이 악성코드는 은밀하게 작동하며, 사용자가 감염의 즉각적인 징후를 알아차리지 못하는 경우가 많습니다.

그러나 영향을 받은 장치는 성능 저하, 예기치 않은 팝업 또는 예상치 못한 네트워크 활동을 경험할 수 있습니다.

XLab의 분석에 따르면 Vo1d는 은밀함, 회복력 및 탐지 회피 능력을 향상시키기 위해 정교한 기술을 사용합니다:

1. 강화된 암호화: 이 악성코드는 네트워크 통신을 위해 RSA 암호화를 사용하여 연구자들이 DGA 도메인을 등록하더라도 명령 및 제어(C2) 장악을 방지합니다.
2. 인프라 업그레이드: Vo1d는 유연성과 회복력을 개선하기 위해 하드코딩된 C2와 도메인 생성 알고리즘(DGA) 기반 리다이렉터 C2를 통합합니다.
3. 페이로드 전달 최적화: 각 페이로드는 고유한 다운로더를 통해 전달되며, RSA 보호 키로 XXTEA 암호화를 사용하여 분석 및 탐지를 어렵게 만듭니다.

Vo1d 봇넷의 빠른 확산은 구식 보안 조치를 가진 IoT 장치의 고유한 취약성을 강조합니다.

Vo1d 봇넷은 주로 이익을 위해 설계되었지만, 장치에 대한 완전한 제어는 공격자가 대규모 사이버 공격이나 기타 범죄 활동을 수행할 수 있게 합니다.

예를 들어, Vo1d 봇넷의 규모는 Bigpanzi, 원래의 Mirai 봇넷 및 2024년 Cloudflare의 기록적인 5.6 Tbps DDoS 공격과 같은 이전 위협을 초월합니다.

감염된 장치는 무단 콘텐츠를 방송하도록 조작될 수 있으며, 이는 AI 생성 영상이 무단으로 텔레비전에서 표시된 사건에서 입증되었습니다.

2025년 2월 현재, 브라질은 감염의 거의 25%를 차지하며, 그 뒤를 이어 남아프리카(13.6%), 인도네시아(10.5%), 아르헨티나(5.3%), 태국(3.4%), 중국(3.1%)이 있습니다.

이러한 위협으로부터 보호하기 위해 안드로이드 TV 및 셋톱 박스 사용자들은 장치가 최신 소프트웨어를 실행하고 있는지 확인하고, 악성코드 감염 위험을 최소화하기 위해 신뢰할 수 있는 출처에서만 애플리케이션을 다운로드하며, 장치 보안을 강화하기 위해 기본 비밀번호를 강력하고 고유한 것으로 교체하고, 감염된 장치를 나타낼 수 있는 비정상적인 데이터 사용 패턴에 대한 네트워크 활동을 주의 깊게 살펴보는 등의 예방 조치를 취할 수 있습니다.