HackerNews 编译,转载请注明出处:
据 Xlab 调查,Vo1d 恶意软件僵尸网络的新变种已感染全球 226 个国家的 1,590,299 台 Android TV 设备,将其招募为匿名代理服务器网络的一部分。
Xlab 自去年 11 月以来一直在跟踪这场新的活动,并报告称该僵尸网络在 2025 年 1 月 14 日达到峰值,目前有 800,000 台活跃的僵尸设备。
2024 年 9 月,Dr.Web 杀毒研究人员发现,通过未知感染途径,Vo1d 恶意软件已在全球 200 个国家感染了 130 万台设备。
Xlab 的最新报告表明,Vo1d 僵尸网络的新版本继续在更大规模上运作,不受之前曝光的影响。
此外,研究人员强调,该僵尸网络已进化出高级加密(RSA + 自定义 XXTEA)、具有弹性的 DGA(域名生成算法)驱动的基础设施,以及增强的隐蔽能力。
Vo1d 僵尸网络的规模令人瞩目,使用的 32 个 DGA 种子可生成超过 21,000 个 C2(命令与控制)域名。C2 通信受到 2048 位 RSA 密钥的保护,即使研究人员识别并注册了 C2 域名,也无法向僵尸设备发出命令。
截至 2025 年 2 月,近 25% 的感染设备位于巴西,其次是南非(13.6%)、印度尼西亚(10.5%)、阿根廷(5.3%)、泰国(3.4%)和中国(3.1%)。
研究人员报告称,该僵尸网络出现了显著的感染激增情况,例如在印度,感染设备数量在短短三天内从 3,900 台激增至 217,000 台。
最大的波动表明,僵尸网络运营商可能在“出租”特定区域的设备作为代理服务器,这些服务器通常用于进行进一步的非法活动或自动化攻击。
“我们推测,‘快速激增后急剧下降’的现象可能是由于 Vo1d 将其僵尸网络基础设施出租给其他团体。以下是这种‘出租-归还’周期的工作原理:
- 出租阶段:在出租开始时,僵尸设备从主 Vo1d 网络转移到承租人的操作中。这种转移导致 Vo1d 的感染数量突然下降,因为僵尸设备暂时从其活跃池中移除。归还阶段:一旦出租期结束,僵尸设备重新加入 Vo1d 网络。这种重新整合导致感染数量迅速激增,因为僵尸设备在 Vo1d 的控制下再次变得活跃。
这种‘出租和归还’的循环机制可以解释 Vo1d 在特定时间点的规模波动。”
Vo1d 僵尸网络是一个多用途的网络犯罪工具,将受感染设备变成代理服务器,以促进非法活动。
受感染设备为网络犯罪分子中转恶意流量,隐藏其活动来源,并融入住宅网络流量中。这还帮助威胁行为者绕过区域限制、安全过滤和其他保护措施。
Vo1d 的另一个功能是广告欺诈,通过模拟广告点击或视频平台上的观看行为来为欺诈广告商生成收入。
该恶意软件具有特定的插件,可自动化广告互动并模拟类似人类的浏览行为,以及 Mzmess SDK,该 SDK 将欺诈任务分配给不同的僵尸设备。
由于感染链仍未知,建议 Android TV 用户采取全面的安全措施来应对 Vo1d 威胁。
首先,从信誉良好的供应商和可信的经销商处购买设备,以尽量减少从工厂或运输途中预装恶意软件的可能性。
其次,安装固件和安全更新至关重要,这些更新可以关闭可能被利用进行远程感染的漏洞。
第三,用户应避免下载 Google Play 以外的第三方应用程序或承诺扩展和“解锁”功能的第三方固件镜像。
如果不需要远程访问功能,应禁用 Android TV 设备的远程访问功能,而在不使用时将其断网也是一种有效的策略。
最终,物联网设备应在网络层面与存储敏感数据的贵重设备隔离。
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
