Uma nova variante do botnet Vo1d, com malware, expandiu-se para 1.590.299 dispositivos Android TV infectados em 226 países, recrutando dispositivos como parte de redes de servidores proxy anônimos.
De acordo com uma investigação do Xlab, que vem monitorando a nova campanha desde o último novembro, informa-se que o botnet atingiu seu pico em 14 de janeiro de 2025, e atualmente possui 800.000 bots ativos.
Em setembro de 2024, pesquisadores do antivírus Dr. Web encontraram 1,3 milhão de dispositivos em 200 países comprometidos pelo malware Vo1d por meio de um vetor de infecção desconhecido.
O relatório recente do Xlab indica que a nova versão do botnet Vo1d continua suas operações em uma escala maior, não sendo dissuadido pela exposição anterior.
Além disso, os pesquisadores sublinham que o botnet evoluiu com criptografia avançada (RSA + XXTEA customizado), infraestrutura resiliente alimentada por DGA e capacidades de stealth aprimoradas.
O botnet Vo1d é um dos maiores vistos nos últimos anos, superando o Bigpanzi, a operação original do Mirai, e o botnet responsável por um ataque DDoS recorde de 5.6 Tbps tratado pela Cloudflare no ano passado.
Até fevereiro de 2025, cerca de 25% das infecções afetam usuários brasileiros, seguidos por dispositivos na África do Sul (13,6%), Indonésia (10,5%), Argentina (5,3%), Tailândia (3,4%) e China (3,1%).
Os pesquisadores relatam que o botnet teve surtos notáveis de infecção, como ir de 3.900 para 217.000 bots na Índia em apenas três dias.
As maiores flutuações sugerem que os operadores do botnet podem estar "alugando" dispositivos como servidores proxy, comumente usados para conduzir atividades ilegais ou botting.
A escala de sua infraestrutura de comando e controle (C2) também é impressionante, com a operação usando 32 sementes do algoritmo de geração de domínios (DGA) para produzir mais de 21.000 domínios C2.
A comunicação C2 é protegida por uma chave RSA de 2048 bits, então, mesmo que os pesquisadores identifiquem e registrem um domínio C2, eles não são capazes de emitir comandos para os bots.
O botnet Vo1d é uma ferramenta de cibercrime multiuso que transforma dispositivos comprometidos em servidores proxy para facilitar operações ilegais.
Dispositivos infectados retransmitem tráfego malicioso para os criminosos cibernéticos, escondendo a origem de sua atividade e misturando-se ao tráfego de rede residencial.
Isso também ajuda os atores da ameaça a contornar restrições regionais, filtragens de segurança e outras proteções.
Outra função do Vo1d é a fraude de publicidade, falsificando interações do usuário ao simular cliques em anúncios ou visualizações em plataformas de vídeo para gerar receita para anunciantes fraudulentos.
O malware possui plugins específicos que automatizam interações de anúncios e simulam comportamento de navegação semelhante ao humano, além do SDK Mzmess, que distribui tarefas de fraude para diferentes bots.
Dado que a cadeia de infecção permanece desconhecida, recomenda-se que os usuários de Android TV sigam uma abordagem de segurança holística para mitigar a ameaça do Vo1d.
O primeiro passo é comprar dispositivos de fornecedores renomados e revendedores confiáveis para minimizar a probabilidade de malware ser pré-carregado de fábrica ou durante o trânsito.
Em segundo lugar, é crucialmente importante instalar atualizações de firmware e de segurança que fechem lacunas que podem ser aproveitadas para infecções remotas.
Terceiramente, os usuários devem evitar baixar aplicativos fora do Google Play ou imagens de firmware de terceiros que prometam funcionalidade estendida e "desbloqueada".
Dispositivos Android TV devem ter seus recursos de acesso remoto desativados se não forem necessários, e tirá-los do ar quando não estiverem em uso também é uma estratégia eficaz.
Por fim, dispositivos IoT devem ser isolados dos dispositivos valiosos que contêm dados sensíveis no nível da rede.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...