A Doctor Web kutatói azonosították a Vo1d nevű kártékony programot, amely világszerte közel 1,3 millió Android-alapú TV boxot fertőzött meg. A malware egy backdoorként működik, amely lehetővé teszi a támadók számára, hogy további szoftvereket telepítsenek a fertőzött eszközökre.
A Vo1d-ot először 2024 augusztusában észlelték, amikor a Dr.Web vírusirtó több felhasználónál rendszerfájl módosításokat jelzett. Az érintett eszközök között különböző Android verziót futtató TV box modellek szerepeltek, és minden esetben hasonló kompromittálási jeleket találtak. Négy új fájl is megjelent a rendszeren: vo1d, wd, debuggerd és debuggerd_real. A vo1d és wd fájlokat később a Vo1d trójai komponenseiként azonosították.
A szakértők arról számoltak be, hogy a fertőzések földrajzi eloszlása csaknem 200 országra terjedt ki. A támadók azért veszik célba a TV boxokat, mert ezeken az eszközökön gyakran elavult Android verziók futnak, amelyekben nincsenek javítva a sebezhetőségek és nincsenek hozzájuk elérhető frissítések. Sok felhasználó jelentette úgy készülékét, mintha Android 10 vagy 12 operációs rendszer futna rajta, azonban valójában Android 7.1 üzemelt rajtuk.
A kínai QiAnXin kiberbiztonsági cég kutatásai szerint a Vo1d botnet napi aktív IP-címeinek száma eléri a 800 000-et, 2025 januárjában pedig 1,59 millióra csúcsosodott. A botnet fejlett rejtőzködési és önvédelmi mechanizmusokat használ, például RSA titkosítást a vezérlőszerverek (C2) közötti kommunikáció biztosítására, valamint dinamikus domain generálási algoritmust (DGA) az infrastruktúra fenntarthatóságához. A káros szoftver letöltési és telepítési mechanizmusát XXTEA és RSA titkosítással erősítették meg, amely jelentősen megnehezíti az elemzést és az észlelést.
A kutatók szerint a Vo1d botnet célja egy proxyhálózat kiépítése, amely anonim internetes forgalmat biztosíthat harmadik felek számára. A gyors fejlődése és globális mérete hosszú távon súlyos fenyegetést jelent a kiberbiztonságra nézve. Mivel hónapokig rejtve maradt, különösen veszélyesnek számít. A szakértők szerint a megfelelő biztonsági intézkedések és a kiberfenyegetések elleni tudatosság növelése kulcsfontosságú a hasonló támadások megelőzésében. A QiAnXin jelentése tartalmazza a feltárt IoC-ket.
