Новий варіант малварі Vo1d заразив 1 590 299 пристроїв під управлінням Android TV у 226 країнах і регіонах. Здебільшого постраждалі гаджети використовуються як анонімні проксі.

За інформацією компанії Xlab, яка відстежує нову шкідливу кампанію з листопада 2024 року, пік активності ботнету припав на 14 січня 2025 року, а наразі Vo1d налічує близько 800 000 активних ботів.

Vo1d – один із найбільших ботнетів, виявлених в останні роки. Його розміри набагато перевершують Bigpanzi, оригінальну активність Mirai і невідомий ботнет, відповідальний за рекордну DDoS-атаку потужністю 5,6 Тбіт/с, від якої постраждала Cloudflare минулого року.

За даними на лютий 2025 року, майже 25% заражень Vo1d припадає на бразильських користувачів, за якими слідують пристрої користувачів із Південної Африки (13,6%), Індонезії (10,5%), Аргентини (5,3%), Таїланду (3,4%) і Китаю (3,1%).

За оцінками XLab, керуючу інфраструктуру ботнету створено за допомогою 32 seed’ів DGA, які в підсумку дали змогу створити понад 21 000 доменів. C&C-комунікації захищені 2048-бітовим ключем RSA, тому навіть якщо дослідники зможуть ідентифікувати і зареєструвати потрібний домен, вони не зможуть віддавати команди ботам.

Дослідники називають Vo1d багатоцільовим інструментом. Як уже було сказано вище, найчастіше він перетворює заражені пристрої на проксі, які ретранслюють шкідливий трафік для зловмисників. Це також допомагає обходити регіональні обмеження, захисні фільтри тощо.

Ще одна функція Vo1d – рекламне шахрайство, тобто імітація користувацьких дій, кліків по рекламних оголошеннях і перегляду відео заради отримання прибутку недобросовісними рекламодавцями. Так, малварь має спеціальні плагіни, що автоматизують взаємодію з рекламою та імітують поведінку людини в браузері, а також використовує Mzmess SDK, який розподіляє шахрайські завдання між ботами.

Водночас ланцюжок заражень, за допомогою яких Vo1d проникає на пристрої під управлінням Android TV, як і раніше, залишається невідомим.