Хакеры заразили ботнетом Vo1d 1,6 млн устройств Android TV по всему миру

Изображение: Glenn Carstens-Peters (unsplash)
Число заражённых устройств Android TV, ставших частью ботнета Vo1d, достигло 1 590 299 в 226 странах. Эти устройства используются для формирования сети анонимных прокси-серверов.
Компания Xlab, занимающаяся мониторингом вредоносных кампаний, зафиксировала всплеск активности ботнета с ноября прошлого года. По её данным, на 14 января 2025 года в сети находилось 800 тыс. активных заражённых устройств.
Осенью 2024 года специалисты антивирусной компании «Доктор Веб» зафиксировали 1,3 млн заражённых Android TV в 200 странах. Источник вредоносного ПО Vo1d до сих пор остаётся неизвестным.
В свежем докладе Xlab отмечается, что ботнет продолжает функционировать и масштабируется, несмотря на предыдущее разоблачение. Более того, обновлённая версия получила дополнительные механизмы шифрования (RSA в сочетании с модифицированным XXTEA), защищённую архитектуру на базе алгоритма генерации доменов (DGA) и усовершенствованные методы маскировки.
Vo1d стал одной из крупнейших ботнет-сетей последних лет, обойдя по масштабам Bigpanzi, операцию Mirai и группировку, организовавшую крупнейшую DDoS-атаку мощностью 5,6 Тбит/с, на которую в прошлом году пришлось реагировать Cloudflare.
По состоянию на февраль 2025 года наибольшее число заражений зафиксировано в Бразилии (почти 25%), затем следуют Южная Африка (13,6%), Индонезия (10,5%), Аргентина (5,3%), Таиланд (3,4%) и Китай (3,1%).
Исследователи указывают на резкие всплески заражений. Например, за три дня количество инфицированных устройств в Индии выросло с 3 900 до 217 тыс. Это может свидетельствовать о том, что злоумышленники используют скомпрометированные устройства в качестве прокси-серверов для дальнейшей незаконной деятельности.
Инфраструктура управления ботнетом также впечатляет: для работы задействовано 32 исходных параметра DGA, которые генерируют более 21 тыс. доменов C2.
Передача данных между ботами и управляющими серверами защищена 2048-битным шифрованием RSA. Даже если исследователям удастся перехватить один из доменов C2, это не позволит им отдавать команды заражённым устройствам.



