Jak działa botnet? Opis na przykładzie Vo1d

Pół roku później chińska firma QiAnXin (QAX), która również monitorowała to zagrożenie, poinformowała o odkryciu prawie 90 nowych próbek złośliwego oprogramowania. Jej badacze obserwowali przeciętną dzienną aktywność około 800 000 unikalnych adresów IP powiązanych z botnetem, a jej szczyt przypadł na 14 stycznia 2025 roku i wyniósł prawie 1,6 miliona unikalnych IP.

Według QiAnXin botnet ewoluował pod względem odporności i zapobiegania wykrywaniu. Cyberprzestępcy bronią w szczególności przejęcia domeny poleceń i kontroli (C&C). Do zabezpieczenia komunikacji używają szyfrowania RSA.

Odporność i elastyczność botnetu zostały zwiększone dzięki wykorzystaniu zakodowanych na stałe i opartych na DGA serwerów C&C. Aby utrudnić analizę złośliwego oprogramowania, każdy ładunek używa teraz unikalnego programu do pobierania z szyfrowaniem XXTEA i kluczy chronionych RSA.

Czym jest botnet?

Botnet to sieć botów albo, jak się to przyjęło obrazowo określać, armia zombie. Sieć składa się z dużej liczby komputerów lub innych urządzeń (w tym przypadku z systemem Android), przejętych przez złośliwe oprogramowanie (malware), aby służyć hakerowi, który je stworzył. Dzięki kontroli nad tysiącami maszyn haker może wysyłać spam lub wirusy, kraść dane osobowe czy przeprowadzać ataki DDoS.

Do czego jest wykorzystywany botnet?

Do tej pory botnet Vo1d był używany głównie do anonimowych usług proxy i oszustw reklamowych/kliknięć. Usługi proxy mogą przynieść cyberprzestępcom duże zyski, co pokazał botnet 911 S5 (Cloud Router), pomagając zarobić swoim operatorom 99 milionów dolarów!

Jednak tak duży botnet może być wykorzystywany również do innych celów, w tym do masowych ataków DDoS, a także do nadawania nieautoryzowanych treści do dużej liczby zainfekowanych dekoderów Android TV.

Prawie jedna czwarta urządzeń zainfekowanych wirusem Vo1d znajduje się w Brazylii, a kolejne w RPA (13%), Indonezji (10%), Argentynie (5%), Tajlandii (3%) i Chinach (3%) – infekcje zaobserwowano łącznie w ponad 200 krajach.

Jak infekowane są urządzenia?

Jeśli chodzi o to, w jaki sposób urządzenia z Android TV zostają zainfekowane złośliwym oprogramowaniem Vo1d, badacze uważają, że dzieje się tak albo poprzez atak na łańcuch dostaw (złośliwe oprogramowanie jest preinstalowane przez niektórych producentów), albo z powodu niezabezpieczenia urządzeń przez użytkowników i zainstalowania złośliwego oprogramowania zamaskowanego jako przydatne aplikacje i narzędzia.

Google rzuca na sprawę więcej światła, twierdząc, że zainfekowane urządzenia korzystają z Android Open Source Project, a nie opracowanego przez Google systemu operacyjnego Android TV. Rzecznik Google powiedział również SecurityWeek:

„Te urządzenia innej marki, które zostały zainfekowane, nie były urządzeniami z systemem Android z certyfikatem Play Protect. Jeśli urządzenie nie ma certyfikatu Play Protect, Google nie ma rejestru wyników testów bezpieczeństwa i zgodności. Urządzenia z systemem Android z certyfikatem Play Protect przechodzą obszerne testy w celu zapewnienia jakości i bezpieczeństwa użytkownika. Aby potwierdzić, czy na urządzeniu jest zainstalowany system Android TV z certyfikatem Play Protect, powinno się sprawdzić stronę internetową Android TV. Zawiera ona najbardziej aktualną listę partnerów”.