Le botnet Vo1d a infecté plus de 1,5 million d’appareils Android TV dans 226 pays !
Plus de 1,5 million d'appareils Android TV ont été infectés par une nouvelle variante du botnet Vo1d, dans un total de 226 pays. Faisons le point sur cette menace.
D'après de nouvelles investigations menées par les chercheurs en sécurité de Xlab, une nouvelle variante du botnet Vo1d a infecté 1 590 299 appareils Android TV dans 226 pays. Il atteint un pic d'activité le 14 janvier 2025 avec plus de 800 000 appareils zombies intégrés au botnet, comme le montre l'image ci-dessous. Cela fait plusieurs mois que ce botnet continue de se propager et d'infecter toujours plus d'appareils.
Le rapport des chercheurs de Xlab met aussi en avant les capacités de cette nouvelle version. Elle s'appuie notamment sur une infrastructure plus résiliente, une nouvelle méthode pour le chiffrement (RSA + XXTEA personnalisé) et sur un algorithme de génération de domaines (DGA). Grâce à ces améliorations, l'activité du botnet est plus difficile à détecter.
Les appareils zombies du botnet Vo1d sont utilisés dans différents scénarios. Tout d'abord, ils peuvent être utilisés comme proxy pour relayer le trafic des cybercriminels et masquer leur origine. Cela peut aussi être utile pour contourner les restrictions régionales et les systèmes de filtrage de sécurité, notamment lorsqu'il y a des règles basées sur le pays d'origine. Par ailleurs, un autre usage à but lucratif a été repéré : il consiste à simuler l'interaction de l'appareil de l'utilisateur avec des publicités.
Quels sont les pays les plus impactés ?
Le botnet Vo1d a une activité intense à l'échelle mondiale et il surpasse certains botnets connus, dont Bigpanzi. Il représente une menace réelle, notamment dans le cas où il serait utilisé pour initier des attaques DDoS.
D'après l'analyse effectuée par Xlab, le Brésil, l'Afrique du Sud et l'Indonésie sont les trois pays les plus impactés. Le Brésil à lui seul représente près de 25% des cas d'infection. Dans le Top 15 des pays les plus infectés par Vo1d, l'Allemagne est le seul pays européen présent (2.17%).
Néanmoins, la situation peut très vite évoluer, et à ce sujet, l'Inde est un bon exemple. En effet, Xlab a observé des pics d'infection impressionnants, comme une augmentation de 3 900 à 217 000 bots en Inde en seulement trois jours.
Les chercheurs expliquent qu'il y a de fortes hausses puis de fortes baisses au niveau du nombre de bots actifs. Cela pourrait être lié à la location d'un ensemble d'appareils zombies à un autre groupe de cybercriminels, ces appareils sont alors exclus du pool du botnet Vo1d en lui-même. "Ce mécanisme cyclique de "location et retour" pourrait expliquer les fluctuations observées dans l'échelle de Vo1d à des moments précis.", peut-on lire.
Cette menace rappelle l'importance d'acheter des appareils Android TV auprès de vendeurs fiables et d'appliquer les mises à jour du système lorsqu'elles sont disponibles. Certains appareils sont susceptibles d'être commercialisés avec un firmware infecté, ou certains firmware non officiels, sont aussi susceptibles d'embarquer un logiciel malveillant comme celui-ci. C'est aussi vrai avec les applications crackées...
Le rapport insiste notamment sur ce point : "Certains fabricants d'appareils ont des liens avec des acteurs illicites et préinstallent des composants malveillants en usine. Au fur et à mesure que les volumes d'expédition augmentent, l'échelle d'infection s'accroît également, pour aboutir aux réseaux de zombies impressionnants que nous connaissons aujourd'hui."
Vous pouvez consulter le rapport complet sur cette page du site de Xlab.
