Brasil, Afrika Selatan, Indonesia, Argentina, dan Thailand telah menjadi target kampanye yang telah menginfeksi perangkat TV Android dengan malware botnet yang dijuluki Vo1d.
Varian yang ditingkatkan dari VO1D telah ditemukan mencakup 800.000 alamat IP aktif harian, dengan botnet menskalakan puncak 1.590.299 pada 19 Januari 2025, yang mencakup 226 negara. Pada 25 Februari 2025, India telah mengalami lonjakan tingkat infeksi yang penting, meningkat dari kurang dari 1% (3.901) menjadi 18,17% (217.771).
“VO1D telah berevolusi untuk meningkatkan kemampuan siluman, ketahanan, dan anti-deteksi,” kata Qianxin Xlab. “Enkripsi RSA mengamankan komunikasi jaringan, mencegah [command-and-control] pengambilalihan bahkan jika [the Domain Generation Algorithm] Domain didaftarkan oleh para peneliti. Setiap muatan menggunakan pengunduh unik, dengan enkripsi XXTEA dan kunci yang dilindungi RSA, membuat analisis lebih sulit. “
Malware ini pertama kali didokumentasikan oleh Doctor Web pada bulan September 2024 sebagai memengaruhi kotak TV berbasis Android dengan menggunakan backdoor yang mampu mengunduh eksekutif tambahan berdasarkan instruksi yang dikeluarkan oleh server perintah-dan-kontrol (C2).
Tidak jelas bagaimana kompromi terjadi, meskipun diduga melibatkan semacam serangan rantai pasokan atau penggunaan versi firmware tidak resmi dengan akses akar bawaan.
Google mengatakan kepada Hacker News pada saat itu bahwa model TV “off-brand” yang terinfeksi tidak memainkan perangkat Android bersertifikat Protect dan bahwa mereka kemungkinan menggunakan kode sumber dari repositori kode Proyek Open Source Android (AOSP).
Iterasi terbaru dari kampanye malware menunjukkan bahwa ia beroperasi pada skala besar -besaran dengan niat untuk memfasilitasi penciptaan jaringan proxy dan aktivitas seperti iklan klik penipuan.
XLAB berteori bahwa fluktuasi cepat dalam aktivitas botnet kemungkinan karena infrastrukturnya disewa di daerah tertentu kepada aktor kriminal lainnya sebagai bagian dari apa yang dikatakannya adalah siklus “pengembalian sewa” di mana bot disewa untuk periode waktu yang ditentukan untuk mengaktifkan operasi ilegal, setelah mereka bergabung dengan jaringan VO1D yang lebih besar.
Analisis versi Malware ELF yang lebih baru (S63) telah menemukan bahwa itu dirancang untuk mengunduh, mendekripsi, dan menjalankan muatan tahap kedua yang bertanggung jawab untuk membangun komunikasi dengan server C2.
Paket terkompresi yang didekripsi (TS01) berisi empat file: install.sh, cv, vo1d, dan x.apk. Dimulai dengan skrip shell meluncurkan komponen CV, yang, pada gilirannya, meluncurkan VO1D dan aplikasi Android setelah instalasi.
Fungsi utama modul VO1D adalah mendekripsi dan memuat payload tertanam, pintu belakang yang mampu membangun komunikasi dengan server C2 dan mengunduh dan mengeksekusi perpustakaan asli.
“Fungsi intinya tetap tidak berubah,” kata Xlab. “Namun, telah mengalami pembaruan yang signifikan untuk mekanisme komunikasi jaringannya, terutama memperkenalkan C2 redirektor. Redirektor C2 berfungsi untuk menyediakan bot dengan alamat server C2 yang sebenarnya, memanfaatkan C2 redirektor yang hardcoded dan sejumlah besar domain yang dihasilkan oleh DGA untuk membangun arsitektur jaringan ekspansif.”
Untuk bagiannya, aplikasi Android berbahaya membawa nama paket “com.google.android.gms.stable” Dalam apa upaya yang jelas untuk menyamar sebagai layanan Google Play yang sah (“com.google.android.gms”) untuk terbang di bawah radar. Ini mengatur kegigihan pada host dengan mendengarkan acara “boot_completed” sehingga secara otomatis berjalan setelah setiap reboot.
Ini juga direkayasa untuk meluncurkan dua komponen lain yang memiliki fungsionalitas yang sama dengan modul VO1D. Rantai serangan membuka jalan bagi penyebaran malware Android modular bernama MZMess yang menggabungkan empat plugin yang berbeda –
- Popa (“com.app.mz.popan”) dan jaguar (“com.app.mz.jaguark”) untuk layanan proxy
- Lxhwdg (“com.app.mz.lxhwdgn”), yang tujuannya masih belum diketahui karena server C2 -nya offline
- Spirit (“com.app.mz.spiritn”) untuk promosi iklan dan inflasi lalu lintas
Kurangnya tumpang tindih infrastruktur antara MZMess dan VO1D telah meningkatkan kemungkinan bahwa ancaman di balik aktivitas jahat mungkin menyewa layanan kepada kelompok lain.
“Saat ini, VO1D digunakan untuk keuntungan, tetapi kontrol penuh atas perangkat memungkinkan penyerang berputar ke serangan cyber skala besar atau kegiatan kriminal lainnya [such as distributed denial-of-service (DDoS) attacks]”Kata Xlab.” Peretas dapat mengeksploitasi mereka untuk menyiarkan konten yang tidak sah. “
