Ботнет Vo1d, атакующий устройства на базе Android TV, продолжает стремительно развиваться, уже заразив более 1,5 млн устройств в 226 странах. По даннымXLab, ботнет используется для организации анонимных прокси-сетей и достиг пика активности 14 января 2025 года, имея на тот момент 800000 активных ботов.
Первая масштабная атака Vo1d была зафиксирована специалистами Dr. Web в сентябре 2024 года, когда было выявлено 1,3 миллиона заражённых устройств в 200 странах. Однако нынешняя кампания показывает, что после раскрытия ботнет только расширил свои масштабы.
Разработчики Vo1d внедрили продвинутые механизмы защиты, включая шифрование RSA и кастомизированный алгоритм XXTEA, а также отказоустойчивую инфраструктуру, основанную на алгоритме генерации доменов (DGA). Это значительно усложняет обнаружение и уничтожение ботнета.
Один из крупнейших ботнетов последних лет
Vo1d превосходит по масштабу многие известные ботнеты – Bigpanzi, Mirai и тот, что стоял за рекордной DDoS-атакой мощностью 5,6 Тбит/с в 2024 году. Наибольшее число заражений зафиксировано в Бразилии – (25%), далее следуют Южная Африка (13,6%), Индонезия (10,5%), Аргентина (5,3%), Таиланд (3,4%) и Китай (3,1%). Особенно резкий всплеск был отмечен в Индии, где за 3 дня количество заражённых устройств выросло с 3900 до 217000.
Исследователи XLab полагают, что причиной таких скачков является механизм “аренды и возврата” – Vo1d сдаёт свою ботнет-инфраструктуру в аренду другим группам в определённых регионах. По похожей схеме работал сервис 911 S5, против которого Минюст США ввел санкции в 2024 году.
Предположительно, механизм продажи услуг прокси XLab работает так:
- Фаза аренды. В начале периода аренды боты перенаправляются из основной сети Vo1d для выполнения операций арендатора, что приводит к внезапному снижению количества заражённых устройств в активном пуле Vo1d, так как боты временно выводятся из его контроля.
- Фаза возврата. После окончания аренды боты возвращаются в сеть Vo1d. Такой процесс реинтеграции вызывает резкий рост числа заражённых устройств, так как боты вновь становятся активными под управлением Vo1d.
Масштаб инфраструктуры управления и контроля (C2) также впечатляет: в ходе операции используются 32 исходных значения (seed) алгоритма генерации доменов (DGA) для создания более 21000 C2-доменов C2. Связь между ботами и C2-серверами защищена 2048-битным RSA-ключом, что делает невозможным перехват и подмену команд даже при выявлении домена.
Помимо создания анонимных прокси-сетей, Vo1d также используется для кликфрода и накрутки просмотров рекламы. Ботнет способен эмулировать активность пользователей, генерируя клики и просмотры для мошеннических рекламодателей. В этом помогают специальные плагины, имитирующие поведение реальных пользователей, и платформа Mzmess SDK, распределяющая задачи между ботами.
Как защитить Android TV от заражения
Несмотря на широкое распространение Vo1d, пользователи Android TV могут минимизировать риск заражения, придерживаясь ряда простых мер безопасности.
- Покупка устройств у проверенных производителей и официальных продавцов. Это снижает вероятность предустановленного вредоносного ПО.
- Регулярные обновления прошивки и системы безопасности. Обновления устраняют уязвимости, которыми могут воспользоваться злоумышленники.
- Избегание установки приложений вне Google Play. Использование сторонних магазинов или кастомных прошивок повышает риск заражения.
- Отключение удалённого доступа. Если функция не используется, её лучше деактивировать, чтобы исключить возможность удалённого управления.
- Изоляция IoT-устройств. Размещение Android TV в отдельной сети поможет защитить другие устройства, содержащие конфиденциальные данные.
Vo1d продолжает оставаться одной из крупнейших угроз для устройств на базе Android TV, и пока неясно, какие новые способы заражения могут использовать операторы ботнета. Однако грамотный подход к кибербезопасности может значительно снизить вероятность стать частью вредоносной сети.