СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
14.11.2025
#ИБ#Инфра

Vo1d — ботнет Android TV, нацеленный на недорогие устройства

Vo1d — значительная часть вредоносного ПО, впервые обнаруженная в дикой природе в сентябре 2024 года, за считанные месяцы превратилась в один из самых распространённых известных botnet для Android. Наиболее уязвимы смарт‑телевизоры и недорогие устройства Android TV, которые часто остаются непатчеными и плохо защищёнными по умолчанию.

Краткая сводка

  • Первичная классификация — backdoor; затем функционал расширился, включая установку дополнительного ПО, использование прокси‑сервисов и схемы ad fraud.
  • По прогнозам, к началу 2025 года Vo1d скомпрометировал от 1,3 до 1,6 миллиона устройств по всему миру.
  • Недавняя активность аналитиков Darktrace зафиксировала заметный рост инцидентов, в основном затрагивающих клиентов в Южной Африке.

Наблюдения OSINT и данные Darktrace указывают на сильную поражённость регионов с большим количеством дешёвых и непатченных устройств, где Vo1d находит благодатную почву для распространения.

География и масштабы поражения

Сообщество OSINT и телеметрия вендоров отмечают, что одной из наиболее поражённых зон оказалась Южная Африка. Там распространение Vo1d усугубляется высокой долей недорогих устройств с устаревшей прошивкой и слабой сетьевой изоляцией в домашних и маломощных корпоративных средах.

Технические характеристики и тактика

Vo1d демонстрирует эволюцию от простого backdoor к многозадачному инструменту киберпреступников. Основные элементы тактики и технические особенности:

  • DGA (алгоритм генерации доменов) — используется для гибкой и скрытной организации инфраструктуры C2, что затрудняет блокировку и перехват управления ботнетом.
  • Установка дополнительного вредоносного ПО — модульность позволяет загружать плагины для прокси, майнинга, ad fraud и других задач.
  • Использование устройств в роли промежуточных прокси для маскировки трафика преступников и распределения нагрузки.
  • Ненормальное сетевое поведение: чрезмерное количество DNS-запросов и частые исходящие соединения к предполагаемым C2‑серверам.

Индикаторы компрометации (IOCs)

Ключевые признаки заражения и потенциальные IOCs, на которые стоит обратить внимание:

  • Неожиданно высокий объём DNS-запросов с устройства;
  • Исходящие соединения к специфическим IP‑адресам и именам хостов, связанным с инфраструктурой C2 (конкретные адреса присутствуют в отчётах вендоров и SOC);
  • Появление «всплывающего» сетевого трафика на нестандартных портах и подозрительная активность прокси;
  • Потенциальные домены, генерируемые DGA, которые периодически меняются и требуют корреляции с поведением устройств.

Рекомендации по защите и реагированию

Для снижения риска заражения и минимизации последствий стоит предпринять следующие шаги:

  • Обновить прошивки и приложения на смарт‑ТВ и устройствах Android; по возможности отключить автоматические установки из неизвестных источников.
  • Изолировать IoT и смарт‑устройства в отдельные VLAN/сегменты сети и ограничить их доступ в Интернет по принципу наименьших привилегий.
  • Изменить заводские пароли и отключить ненужные сервисы и порты.
  • Настроить мониторинг DNS‑запросов и сетевых аномалий; внедрить алерты на резкий рост количества DNS-запросов от одного устройства.
  • Применять фильтрацию и блокировку известных IP/host IOCs на границе сети и у провайдеров; рассмотреть DNS sinkholing для нейтрализации DGA‑доменов.
  • В корпоративной среде — использовать EDR/NDR решения, логирование и корреляцию событий для быстрого обнаружения компрометации.
  • Информировать пользователей и клиентов, особенно в регионах повышенного риска (например, Южная Африка), о необходимости своевременных обновлений и базовой гигиены безопасности.

Последствия и выводы

Активность Vo1d подчёркивает одну простую и опасную тенденцию: бытовая электроника и дешёвые smart‑устройства могут непреднамеренно превратиться в инфраструктуру для киберпреступлений. Массовые заражения таких устройств дают атакующим масштаб и устойчивость за счёт распределённой сети прокси и динамической C2‑инфраструктуры на базе DGA.

Организациям и пользователям следует повышать уровень базовой защиты, мониторить сетевое поведение и оперативно реагировать на аномалии. Только комплексный подход — обновления, сегментация, мониторинг и блокировка IOCs — позволит снизить риски распространения подобных ботнетов в будущем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: