Een nieuwe variant van het Vo1d-botnet infecteerde inmiddels 1.590.299 Android TV-apparaten in 226 landen. Criminelen zetten de apparaten in als onderdeel van anonieme proxyservernetwerken.
Dit blijkt uit een onderzoek van Xlab, waarover BleepingComputer schrijft. Volgens hun rapport bereikte het botnet zijn piek op 14 januari 2025, met momenteel 800.000 actieve bots.
In september 2024 ontdekten onderzoekers van Dr. Web Antivirus dat 1,3 miljoen apparaten in 200 landen waren besmet met Vo1d-malware via een onbekend infectiemechanisme. De recente bevindingen van Xlab tonen aan dat het botnet zich verder ontwikkelde en op grotere schaal actief blijft. Dit ondanks eerdere onthullingen.
Het botnet heeft nu geavanceerde encryptie (RSA + aangepaste XXTEA), een robuuste infrastructuur aangedreven door DGA (Domain Generation Algorithm) en verbeterde stealth-mogelijkheden.
Het Vo1d-botnet behoort tot de grootste van de afgelopen jaren en overtreft onder andere Bigpanzi, de originele Mirai-operatie, en het botnet achter de recordbrekende 5,6 Tbps DDoS-aanval die Cloudflare vorig jaar wist te neutraliseren.
Grootste impact in Brazilië
Per februari 2025 heeft het botnet de grootste impact in Brazilië, waar bijna 25% van de infecties voorkomt. Andere zwaar getroffen landen zijn Zuid-Afrika (13,6%), Indonesië (10,5%), Argentinië (5,3%), Thailand (3,4%) en China (3,1%). Ook zagen de onderzoekers snelle infectiegolven, zoals in India. Daar steeg het aantal geïnfecteerde apparaten in slechts drie dagen van 3.900 naar 217.000.
Onderzoekers vermoeden dat de snelle fluctuaties in het aantal infecties erop wijzen dat Vo1d zijn botnet-infrastructuur verhuurt aan andere criminele groepen. Deze verhuur-terugkeer-cyclus werkt mogelijk als volgt. In de verhuurfase wordt een deel van de bots tijdelijk omgeleid naar de operaties van de huurder. Dit veroorzaakt een plotselinge daling van de infectietelling. Vervolgens keren de bots na afloop van de huurperiode terug naar het Vo1d-netwerk, wat leidt tot een scherpe stijging in infecties.
Het command & control (C2)-netwerk van Vo1d is extreem omvangrijk en maakt gebruik van 32 DGA-seeds, waarmee meer dan 21.000 C2-domeinen worden gegenereerd. Daarnaast wordt de communicatie met de geïnfecteerde apparaten beveiligd via een 2048-bit RSA-sleutel, waardoor zelfs als onderzoekers een C2-domein ontdekken en registreren, zij geen commando’s naar de bots kunnen sturen.
Verschillende cybercriminele activiteiten
Het Vo1d-botnet wordt ingezet voor verschillende cybercriminele activiteiten. Een belangrijke functie is het opzetten van proxy-netwerken, waarbij geïnfecteerde apparaten als anonieme proxies fungeren. Hierdoor kunnen cybercriminelen hun illegale activiteiten verhullen en regionale beveiligingsfilters omzeilen.
Daarnaast gebruiken criminelen het botnet voor advertentiefraude. Het simuleert menselijke interacties door op advertenties te klikken. Of door video’s te bekijken. Zo genereert men frauduleuze advertentie-inkomsten. De malware maakt gebruik van speciale plug-ins en het Mzmess SDK-systeem, waarmee taken voor fraude worden verdeeld over verschillende bots.
Aangezien het exacte infectiemechanisme nog steeds onbekend is, wordt gebruikers aangeraden voorzorgsmaatregelen te nemen om besmetting te voorkomen. Zo is het belangrijk om Android TV-apparaten alleen bij betrouwbare leveranciers te kopen om te voorkomen dat malware vooraf is geïnstalleerd.
Daarnaast is het essentieel om firmware- en beveiligingsupdates te installeren om kwetsbaarheden te dichten. Het wordt afgeraden om apps buiten Google Play te downloaden en aangepaste firmware te gebruiken die unlocked functies belooft.
Verder is het verstandig om externe toegang uit te schakelen als dit niet nodig is en apparaten offline te halen wanneer ze niet worden gebruikt. Tot slot helpt het om IoT-apparaten op netwerkniveau te isoleren van belangrijke apparaten met gevoelige gegevens.