Une nouvelle variante du botnet malveillant Vo1d est passée à 1 590 299 appareils Android TV infectés dans 226 pays, recrutant des appareils dans le cadre de réseaux de serveurs proxy anonymes.
C’est selon une enquête de Xlab, qui suit la nouvelle campagne depuis novembre dernier, signalant que le botnet a culminé le 14 janvier 2025 et compte actuellement 800 000 robots actifs.
En septembre 2024, les chercheurs de Dr. Web antivirus ont découvert 1,3 million d’appareils dans 200 pays compromis par des logiciels malveillants Vo1d via un vecteur d’infection inconnu.
Le récent rapport de XLab indique que la nouvelle version du botnet Vo1d poursuit ses opérations à plus grande échelle, non découragée par l’exposition précédente.
De plus, les chercheurs soulignent que le botnet a évolué avec un cryptage avancé ( RSA + custom XXTEA), une infrastructure résiliente alimentée par DGA et des capacités de furtivité améliorées.
Taille massive du botnet
Le botnet Vo1d est l’un des plus importants de ces dernières années, dépassant Bigpanzi, l’opération Mirai d’origine, et le botnet responsable d’une attaque DDoS record de 5,6 Tbit / s gérée par Cloudflare l’année dernière.
En février 2025, près de 25% des infections touchaient les utilisateurs brésiliens, suivis des appareils en Afrique du Sud (13,6%), en Indonésie (10,5%), en Argentine (5,3%), en Thaïlande (3,4%) et en Chine (3,1%).
Les chercheurs rapportent que le botnet a connu des poussées d’infection notables, comme passer de 3 900 à 217 000 robots en Inde en seulement trois jours.
Les fluctuations les plus importantes suggèrent que les opérateurs de botnet peuvent « louer » des appareils en tant que serveurs proxy, qui sont couramment utilisés pour mener d’autres activités illégales ou botting.
« Nous supposons que le phénomène des » poussées rapides suivies de fortes baisses » peut être attribué à la location par Vo1d de son infrastructure de botnet dans des régions spécifiques à d’autres groupes. Voici comment ce cycle « location-retour » pourrait fonctionner:
Phase de Location:
Au début d’un bail, les robots sont détournés du réseau Vo1d principal pour servir les opérations du locataire. Ce détournement provoque une baisse soudaine du nombre d’infections de Vo1d lorsque les robots sont temporairement retirés de son pool actif.
Phase de Retour:
Une fois la période de location terminée, les robots rejoignent le réseau Vo1d. Cette réintégration entraîne une augmentation rapide du nombre d’infections à mesure que les robots redeviennent actifs sous le contrôle de Vo1d.
Ce mécanisme cyclique de « location et retour » pourrait expliquer les fluctuations observées de l’échelle de Vo1d à des moments précis. »
L’ampleur de son infrastructure de commandement et de contrôle (C2) est également impressionnante, l’opération utilisant 32 semences d’algorithme de génération de domaine (DGA) pour produire plus de 21 000 domaines C2.
La communication C2 est protégée par une clé RSA de 2048 bits, donc même si les chercheurs identifient et enregistrent un domaine C2, ils ne sont pas en mesure d’émettre des commandes aux robots.
L’ampleur de son infrastructure de commandement et de contrôle (C2) est également impressionnante, l’opération utilisant 32 semences d’algorithme de génération de domaine (DGA) pour produire plus de 21 000 domaines C2.
La communication C2 est protégée par une clé RSA de 2048 bits, donc même si les chercheurs identifient et enregistrent un domaine C2, ils ne sont pas en mesure d’émettre des commandes aux robots.
Capacités Vo1d
Le botnet Vo1d est un outil de cybercriminalité polyvalent qui transforme les appareils compromis en serveurs proxy pour faciliter les opérations illégales.
Les appareils infectés relaient le trafic malveillant pour les cybercriminels, cachant l’origine de leur activité et se fondant dans le trafic du réseau résidentiel. Cela aide également les acteurs de la menace à contourner les restrictions régionales, le filtrage de sécurité et d’autres protections.
Une autre fonction de Vo1d est la fraude publicitaire, simulant les interactions des utilisateurs en simulant des clics sur des publicités ou des vues sur des plateformes vidéo pour générer des revenus pour les annonceurs frauduleux.
Le malware possède des plugins spécifiques qui automatisent les interactions publicitaires et simulent un comportement de navigation semblable à celui d’un humain, ainsi que le SDK Mzmess, qui distribue les tâches de fraude à différents robots.
Étant donné que la chaîne d’infection reste inconnue, il est recommandé aux utilisateurs d’Android TV de suivre une approche de sécurité holistique pour atténuer la menace Vo1d.
La première étape consiste à acheter des appareils auprès de fournisseurs réputés et de revendeurs dignes de confiance afin de minimiser la probabilité que des logiciels malveillants soient préchargés à partir de l’usine ou en transit.
Deuxièmement, il est d’une importance cruciale d’installer des mises à jour de micrologiciel et de sécurité qui comblent les lacunes qui peuvent être exploitées pour les infections à distance.
Troisièmement, les utilisateurs doivent éviter de télécharger des applications en dehors de Google Play ou des images de micrologiciels tiers qui promettent des fonctionnalités étendues et « déverrouillées ».
Les fonctionnalités d’accès à distance des appareils Android TV doivent être désactivées si elles ne sont pas nécessaires, tout en les mettant hors ligne lorsqu’ils ne sont pas utilisés est également une stratégie efficace.
En fin de compte, les appareils IoT doivent être isolés des appareils de valeur qui contiennent des données sensibles au niveau du réseau.