1.6 миллиона Android TV взломаны и заражены ботнетом Vo1d по всему миру

Исследователи кибербезопасности из компании XLab обнаружили, что новая версия массового ботнета «Vo1d» заразила более 1,6 миллиона устройств Android TV в более чем 200 странах и регионах, быстро расширяя свое влияние.

Это развитие вызывает серьезные опасения по поводу безопасности устройств Интернета вещей (IoT) и их потенциальной эксплуатации в крупномасштабных кибератаках.

«Представьте, что вы сидите на диване, смотрите телевизор, когда вдруг экран мерцает, пульт перестает работать, а программа заменяется искаженным кодом и жуткими командами. Ваш телевизор, как будто захваченный невидимой силой, становится «цифровой марионеткой». Это не научная фантастика — это реальная и растущая угроза. Ботнет Vo1d тихо захватывает контроль над миллионами устройств Android TV по всему миру», — написали исследователи XLab в блоге в четверг.

Согласно выводам исследователей XLab, вредоносное ПО Vo1d, которое в первую очередь нацелено на Android TV и телевизионные приставки, в настоящее время имеет 800 000 активных ботов. Пик ботнета составил 1 590 299 14 января 2025 года.

Ботнет Vo1d использует уязвимости безопасности в недорогих Android TV приставках, многие из которых работают на устаревшем программном обеспечении.

После заражения эти устройства интегрируются в ботнет — сеть захваченных систем, используемых для злонамеренных действий, таких как распределенные атаки отказа в обслуживании (DDoS), майнинг криптовалюты и кража данных.

Примечательно, что вредоносное ПО работает скрытно, часто без того, чтобы пользователи замечали какие-либо немедленные признаки заражения.

Тем не менее, затронутые устройства могут испытывать ухудшение производительности, неожиданные всплывающие окна или неожиданную сетевую активность.

Анализ XLab показал, что Vo1d использует сложные техники для повышения своей скрытности, устойчивости и возможностей противодействия обнаружению:

1. Улучшенное шифрование: Вредоносное ПО использует RSA-шифрование для сетевых коммуникаций, предотвращая захват командного и контрольного (C2) управления, даже если домены DGA зарегистрированы исследователями.
2. Обновление инфраструктуры: Vo1d включает как жестко закодированные, так и основанные на алгоритме генерации доменов (DGA) редиректоры C2 для улучшения гибкости и устойчивости.
3. Оптимизация доставки полезной нагрузки: Каждая полезная нагрузка доставляется через уникальный загрузчик, использующий шифрование XXTEA с RSA-защищенными ключами, что усложняет анализ и обнаружение.

Быстрое распространение ботнета Vo1d подчеркивает уязвимости, присущие устройствам IoT, особенно тем, которые имеют устаревшие меры безопасности.

Хотя ботнет Vo1d в первую очередь предназначен для получения прибыли, его полный контроль над устройствами может позволить злоумышленникам проводить крупномасштабные кибератаки или другие преступные действия.

Например, масштаб ботнета Vo1d превышает предыдущие угрозы, такие как Bigpanzi, оригинальный ботнет Mirai, а также рекордную DDoS-атаку Cloudflare в 5,6 Тбит/с в 2024 году.

Скомпрометированные устройства могут быть использованы для трансляции несанкционированного контента, что подтверждается инцидентами, когда сгенерированные ИИ видеозаписи отображались на телевизорах без разрешения.

По состоянию на февраль 2025 года Бразилия составляет почти 25% инфекций, за ней следуют Южноафриканская Республика (13,6%), Индонезия (10,5%), Аргентина (5,3%), Таиланд (3,4%) и Китай (3,1%).

Чтобы защититься от таких угроз, пользователи Android TV и телевизионных приставок могут предпринять профилактические меры, такие как обеспечение того, чтобы их устройства работали на последнем программном обеспечении, загрузка приложений только из надежных источников для минимизации риска заражения вредоносным ПО, замена стандартных паролей на сильные и уникальные для повышения безопасности устройства и наблюдение за сетевой активностью на предмет необычных паттернов использования данных, которые могут указывать на скомпрометированное устройство.