A Doctor Web kutatói egy Vo1d nevű kártékony programot fedeztek fel, amely közel 1,3 millió Android-alapú TV boxot fertőzött meg világszerte. A malware backdoorként működik, lehetővé téve a támadók számára további szoftverek telepítését a kompromittált eszközökön.
A Vo1d-ot 2024 augusztusában először észlelték, amikor a Dr.Web vírusirtó rendszerfájl módosításokat jelzett több felhasználónál. A fertőzött eszközök különböző Android verziójú TV box modellek voltak, amelyeknél azonos kompromittálási jeleket találtak. Négy új fájl jelent meg a rendszeren: vo1d, wd, debuggerd és debuggerd_real, amelyek közül a vo1d és wd fájlokat később a trójai komponenseiként azonosították.
A szakértők szerint a fertőzés mintegy 200 országot érintett. A támadók azért célozzák a TV boxokat, mert ezeken gyakran elavult Android verziók futnak, amelyeknél nem érhetők el biztonsági frissítések. Sok felhasználó úgy vélte, készüléke Android 10 vagy 12 operációs rendszert futtat, valójában azonban Android 7.1 verzió üzemelt rajtuk.
A kínai QiAnXin kiberbiztonsági cég kutatásai feltárták, hogy a Vo1d botnet napi aktív IP-címeinek száma 2025 januárjában elérte az 1,59 milliót. A botnet fejlett rejtőzködési technikákat alkalmaz, beleértve az RSA titkosítást a vezérlőszerverek közötti kommunikációban és egy dinamikus domain generálási algoritmust (DGA) az infrastruktúra fenntartásához. A kártékony szoftver letöltési mechanizmusát XXTEA és RSA titkosítással erősítették meg, ami jelentősen megnehezíti az elemzést és az észlelést.
A kutatók szerint a Vo1d botnet elsődleges célja egy proxyhálózat kiépítése, amely anonim internetes forgalmat biztosíthat harmadik felek számára. A gyors terjedése és globális mérete hosszú távon súlyos kiberkockázatot jelent. Különösen veszélyessé teszi, hogy hónapokig rejtve maradt. A szakértők hangsúlyozzák a megfelelő biztonsági intézkedések és a kiberfenyegetésekkel kapcsolatos tudatosság fontosságát a hasonló támadások megelőzése érdekében. A QiAnXin jelentése részletesen dokumentálja a feltárt indikátorokat.
(via)
