Brazílie, Jihoafrická republika, Indonésie, Argentina a Thajsko se staly cíli kampaně, která infikovala zařízení Android TV botnetovým malwarem nazvaným Vo1d.

Vylepšená varianta Vo1d zahrnuje 800 000 aktivních IP adres denně, přičemž botnet dosáhl 1 590 299 infikovaných zařízení 19. ledna 2025, pokrývající 226 zemí a regionů. K 25. únoru 2025 Indie zaznamenala výrazný nárůst míry infekce, která vzrostla z méně než 1 % (3 901) na 18,17 % (217 771).

„Vo1d se vyvinul tak, aby zlepšil svou nenápadnost, odolnost a schopnosti proti detekci,“ uvedla společnost QiAnXin XLab. „Šifrování RSA zajišťuje síťovou komunikaci, což zabraňuje převzetí [command-and-control] i v případě, že domény [Domain Generation Algorithm] zaregistrují výzkumníci. Každý payload používá unikátní Downloader s šifrováním XXTEA a klíči chráněnými RSA, což analýzu značně ztěžuje.“

Malware byl poprvé zdokumentován společností Doctor Web v září 2024 jako ovlivňující TV boxy založené na Androidu prostřednictvím backdooru, který je schopen stahovat další spustitelné soubory na základě instrukcí vydaných serverem command-and-control (C2).

Není zcela jasné, jak k těmto kompromitacím dochází, ale předpokládá se, že by mohlo jít o nějaký druh útoku na dodavatelský řetězec nebo použití neoficiálních verzí firmwaru s vestavěným root přístupem.

Google tehdy sdělil že infikované „neznačkové“ modely TV nebyly certifikovanými zařízeními Android Play Protect a pravděpodobně používaly zdrojový kód z repozitáře Android Open Source Project (AOSP). Nejnovější iterace kampaně malwaru ukazuje, že operuje ve velkém měřítku s cílem usnadnit vytvoření proxy sítě a aktivity, jako je podvodné klikání na reklamy.

Zdroj: The Hacker News