Армия новой версии ботнета Vo1d разбросана по всему земному шару. Больше всего зараженных устройств находится в Бразилии — почти 25% от общего числа «юнитов». Далее идет Южная Африка (13.60%), Индонезия (10.54%), а также Тайланд (3.40%), Китай (3.13%), Марокко (2.79%), Германия (2.17%) и Россия (1.14%). Злоумышленники используют ботов для организации анонимного прокси-трафика и скликивания рекламы.
Мощнее Mirai и неизвестного ботнета, атаковавшего Cloudflare
Согласно данным подразделения Xlab, которое входит в состав одной из крупнейших компаний по кибербезопасности в Китае QiAnXin, ботнет Vo1d заразил свыше 1,6 млн устройств на базе Android TV в более чем 200 странах и регионах по всему миру. Для сравнения:
- В 2016 году Mirai навел хаос на всем Восточном побережье США, из-за чего перестали работать Twitter и Netflix. Тогда в атаке были задействованы сотни тысяч устройств.
- В 2024 году на компанию Cloudflare обрушилась массивная DDoS-атака мощностью 5.6 терабайт в секунду. В ней участвовали 15 тыс. машин. Злоумышленники, которые стоят за Vo1d, контролируют свыше 1,6 млн устройств — почти в сто раз больше.
Специалисты по кибербезопасности смогли обнаружить 89 образцов вредоносного кода, принадлежащего Vo1d, включая 4 загрузчика, 21 C2-домен, 258 DGA-посевов и свыше 100 тыс. DGA-доменов.
Ежедневно в атаках задействуется порядка 800 тыс. зараженных IP-адресов. Основной пик пришелся на 14 января 2025 года — тогда в атаках было задействовано более 1,59 млн ботов.
Примечательно то, что, несмотря на достаточно низкий процент ботов (3.13%), в Китае ежедневно активность проявляют порядка 20 тыс. зараженных устройств.
Еще один интересный факт: Индия поднялась с 29-й позиции на 2-е место по уровню и темпам заражения. При этом специалисты заметили резкие скачки в заражениях и активности ботнета:
- 14 января активная армия Vo1d увеличилось с 810 тыс. до 1,5 млн. В этот момент число зараженных устройств в Индии резко выросло с 18 тыс. до 147 тыс.
- 22 января ежедневная активность Vo1d резко упала с 1,43 млн до 780 тыс. ботов. За этим также последовал спад активности: с 94 тыс. до 5 тыс.
В феврале снова последовал резкий скачок. Эксперты предполагают, что это связано со сдачей ботнета в аренду.
Аренда прокси и скликивание рекламы
Эксперты предполагают, что кибермошенники усовершенствовали алгоритмы повышения скрытности вредоноса, его устойчивость и защиту от обнаружения. Ими были усилены методы шифрования, модернизирована инфраструктура сети и оптимизирована доставка полезной нагрузки.
В первую очередь ботнет используется для создания анонимных прокси-сервисов из зараженных устройств. Далее идет мошенничество с рекламой и генерация фальшивого трафика.
Кто следующий: устройства и версии приставок, которые были заражены ранее
Ранее, в сентябре 2024 года, специалисты «Доктор Веб» уже сообщали о нем. На тот момент было заражено порядка 1,3 млн TV-приставок на Android. Тогда жертвами стали владельцы следующих моделей и версий приставок:
| Модель | Версия ОС |
| R4 | вер. Android 7.1.2; R4 Build/NHG47K |
| TV BOX | вер. Android 12.1; TV BOX Build/NHG47K |
| KJ-SMART4KVIP | вер. Android 10.1; KJ-SMART4KVIP Build/NHG47K |
Масштабы, регулярная модернизация и совершенствование ботнета Vo1d позволяют злоумышленникам тщательно скрываться и проводить атаки по всему миру. Для борьбы с ним требуется не только поимка тех, кто стоит за этим ботнетом, но и своевременное устранение уязвимостей в ПО для ТВ-приставок. Пользователям рекомендуется регулярно обновлять свои устройства до последней версии.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
