1,6 Milhões de TVs Android Hackeadas e Infectadas pelo Botnet Vo1d em Todo o Mundo

Pesquisadores da empresa de cibersegurança XLab descobriram que uma nova variante do massivo botnet “Vo1d” infectou mais de 1,6 milhão de dispositivos Android TV em mais de 200 países e regiões, expandindo rapidamente seu alcance.

Esse desenvolvimento levanta sérias preocupações sobre a segurança dos dispositivos da Internet das Coisas (IoT) e sua potencial exploração em ciberataques em larga escala.

“Imagine estar sentado no seu sofá assistindo TV quando, de repente, a tela pisca, o controle remoto para de funcionar e o programa é substituído por código embaralhado e comandos estranhos. Sua TV, como se fosse sequestrada por uma força invisível, torna-se uma ‘marionete digital’. Isso não é ficção científica—é uma ameaça real e crescente. O botnet Vo1d está silenciosamente assumindo o controle de milhões de dispositivos Android TV em todo o mundo,” escreveram os pesquisadores da XLab em um post no blog na quinta-feira.

De acordo com as descobertas dos pesquisadores da XLab, o malware Vo1d, que tem como alvo principal as TVs Android e as caixas de TV, atualmente possui 800.000 bots ativos. O botnet atingiu seu pico em 1.590.299 em 14 de janeiro de 2025.

O botnet Vo1d explora falhas de segurança em caixas de TV Android de baixo custo, muitas das quais executam software desatualizado.

Uma vez infectados, esses dispositivos são integrados a um botnet—uma rede de sistemas sequestrados usados para atividades maliciosas, como ataques de negação de serviço distribuído (DDoS), mineração de criptomoedas e roubo de dados.

Notavelmente, o malware opera de forma furtiva, muitas vezes sem que os usuários percebam quaisquer sinais imediatos de infecção.

No entanto, dispositivos afetados podem experimentar desempenho degradado, pop-ups inesperados ou atividade de rede inesperada.

A análise da XLab revelou que o Vo1d emprega técnicas sofisticadas para melhorar sua furtividade, resiliência e capacidades de anti-detecção:

1. Criptografia Aprimorada: O malware utiliza criptografia RSA para comunicações de rede, impedindo a tomada de controle de comando e controle (C2) mesmo que domínios DGA sejam registrados por pesquisadores.
2. Atualização de Infraestrutura: O Vo1d incorpora tanto C2s redirecionadores codificados quanto baseados em algoritmo de geração de domínio (DGA) para melhorar a flexibilidade e resiliência.
3. Otimização de Entrega de Payload: Cada payload é entregue através de um downloader único, empregando criptografia XXTEA com chaves protegidas por RSA, dificultando a análise e detecção.

A rápida proliferação do botnet Vo1d destaca as vulnerabilidades inerentes aos dispositivos IoT, particularmente aqueles com medidas de segurança desatualizadas.

Embora o botnet Vo1d seja projetado principalmente para lucro, seu controle total sobre os dispositivos pode permitir que atacantes realizem ciberataques em larga escala ou outras atividades criminosas.

Por exemplo, a escala do botnet Vo1d supera ameaças anteriores como Bigpanzi, o botnet Mirai original, assim como o ataque DDoS recorde de 5,6 Tbps da Cloudflare em 2024.

Dispositivos comprometidos podem ser manipulados para transmitir conteúdo não autorizado, como evidenciado por incidentes em que imagens geradas por IA foram exibidas em televisores sem autorização.

Em fevereiro de 2025, o Brasil representa quase 25% das infecções, seguido pela África do Sul (13,6%), Indonésia (10,5%), Argentina (5,3%), Tailândia (3,4%) e China (3,1%).

Para se proteger contra tais ameaças, usuários de Android TV e caixas de TV podem tomar medidas preventivas, como garantir que seus dispositivos estejam executando o software mais recente, baixar aplicativos apenas de fontes confiáveis para minimizar o risco de infecção por malware, substituir senhas padrão por senhas fortes e únicas para aumentar a segurança do dispositivo e ficar de olho na atividade da rede para padrões de uso de dados incomuns que possam indicar um dispositivo comprometido.