Ботнет Vo1d уже заразил более 1,5 млн устройств с Android TV в 226 странах

По данным XLab, ботнет используется для организации анонимных прокси-сетей и достиг пика активности 14 января 2025 года, имея на тот момент 800000 активных ботов.

Первая масштабная атака Vo1d была зафиксирована специалистами Dr. Web в сентябре 2024 года, когда было выявлено 1,3 миллиона заражённых устройств в 200 странах. Однако нынешняя кампания показывает, что после раскрытия ботнет только расширил свои масштабы.

Разработчики Vo1d внедрили продвинутые механизмы защиты, включая шифрование RSA и кастомизированный алгоритм XXTEA, а также отказоустойчивую инфраструктуру, основанную на алгоритме генерации доменов (DGA). Это значительно усложняет обнаружение и уничтожение ботнета.

Vo1d превосходит по масштабу многие известные ботнеты – Bigpanzi, Mirai и тот, что стоял за рекордной DDoS-атакой мощностью 5,6 Тбит/с в 2024 году. Наибольшее число заражений зафиксировано в Бразилии — (25%), далее следуют Южная Африка (13,6%), Индонезия (10,5%), Аргентина (5,3%), Таиланд (3,4%) и Китай (3,1%). Особенно резкий всплеск был отмечен в Индии, где за 3 дня количество заражённых устройств выросло с 3900 до 217000.

Исследователи XLab полагают, что причиной таких скачков является механизм «аренды и возврата» - Vo1d сдаёт свою ботнет-инфраструктуру в аренду другим группам в определённых регионах. По похожей схеме работал сервис 911 S5, против которого Минюст США ввел санкции в 2024 году.

Предположительно, механизм продажи услуг прокси XLab работает так:

• Фаза аренды. В начале периода аренды боты перенаправляются из основной сети Vo1d для выполнения операций арендатора, что приводит к внезапному снижению количества заражённых устройств в активном пуле Vo1d, так как боты временно выводятся из его контроля.
• Фаза возврата. После окончания аренды боты возвращаются в сеть Vo1d. Такой процесс реинтеграции вызывает резкий рост числа заражённых устройств, так как боты вновь становятся активными под управлением Vo1d.

Масштаб инфраструктуры управления и контроля (C2) также впечатляет: в ходе операции используются 32 исходных значения (seed) алгоритма генерации доменов (DGA) для создания более 21000 C2-доменов C2. Связь между ботами и C2-серверами защищена 2048-битным RSA-ключом, что делает невозможным перехват и подмену команд даже при выявлении домена.

Помимо создания анонимных прокси-сетей, Vo1d также используется для кликфрода и накрутки просмотров рекламы. Ботнет способен эмулировать активность пользователей, генерируя клики и просмотры для мошеннических рекламодателей. В этом помогают специальные плагины, имитирующие поведение реальных пользователей, и платформа Mzmess SDK, распределяющая задачи между ботами.