Vo1dマルウェアのボットネット、全世界で160万台のAndroid TVに拡大

マルウェア「Vo1d」ボットネットの新たな亜種が、匿名プロキシサーバー・ネットワークの一部としてデバイスを募集し、226カ国で1,590,299台のAndroid TVデバイスに感染するまでに拡大している。

これは、昨年11月から新たなキャンペーンを追跡しているXlabの調査によると、ボットネットは2025年1月14日にピークに達し、現在80万台のボットが活動していると報告しています。

2024年9月、Dr.Webアンチウイルスの研究者は、未知の感染ベクトルを介してVo1dマルウェアによって侵害された200カ国の130万台のデバイスを発見しました。

XLabの最新レポートによると、Vo1dボットネットの新バージョンは、前回の暴露にもめげず、より大規模な活動を続けている。

さらに研究者は、このボットネットが高度な暗号化（RSA + カスタムXXTEA）、弾力性のあるDGA搭載インフラ、ステルス機能の強化によって進化していることを強調しています。

巨大なボットネットの規模

Vo1dボットネットは、Bigpanzi、オリジナルのMiraiオペレーション、および昨年Cloudflareによって処理された記録的な5.6 Tbps DDoS攻撃の原因となったボットネットを上回る、近年見られた最大のボットネットの1つです。

2025年2月現在、感染の25％近くがブラジルのユーザーに影響を与えており、南アフリカ（13.6％）、インドネシア（10.5％）、アルゼンチン（5.3％）、タイ（3.4％）、中国（3.1％）のデバイスがこれに続いている。

研究者の報告によると、このボットネットは、わずか3日間のうちにインドの3,900ボットから217,000ボットになるなど、顕著な感染急増があった。

最大の変動は、ボットネットの運営者が、さらなる違法行為やボッティングを行うために一般的に使用されるプロキシサーバーとしてデバイスを「レンタル」している可能性を示唆している。

コマンド・アンド・コントロール（C2）インフラストラクチャの規模も印象的で、32のドメイン生成アルゴリズム（DGA）の種を使用して、21,000以上のC2ドメインを生成している。

C2通信は2048ビットのRSAキーで保護されているため、研究者がC2ドメインを特定して登録しても、ボットにコマンドを発行することはできない。

Vo1dの機能

Vo1dボットネットは、侵害されたデバイスをプロキシサーバーに変え、違法な操作を容易にする多目的サイバー犯罪ツールです。

感染したデバイスは、サイバー犯罪者のために悪意のあるトラフィックを中継し、活動の発信元を隠して一般家庭のネットワーク・トラフィックに紛れ込ませます。これはまた、脅威行為者が地域制限、セキュリティフィルタリング、その他の保護を回避するのにも役立つ。

Vo1dのもう1つの機能は広告詐欺で、広告のクリックや動画プラットフォームでの視聴をシミュレートすることでユーザーとのやり取りを偽装し、詐欺的な広告主に収益をもたらす。

このマルウェアには、広告インタラクションを自動化し、人間のようなブラウジング行動をシミュレートする特定のプラグインと、詐欺タスクをさまざまなボットに配布するMzmess SDKがある。

感染経路が不明であることから、Android TVユーザーはVo1dの脅威を軽減するため、全体的なセキュリティ・アプローチに従うことが推奨される。

まず、信頼できるベンダーや再販業者からデバイスを購入し、工場出荷時や輸送中にマルウェアがプリインストールされる可能性を最小限に抑えることです。

第二に、ファームウェアとセキュリティ・アップデートをインストールし、リモート感染に利用される可能性のあるギャップを埋めることが極めて重要である。

第三に、ユーザーはGoogle Play以外のアプリや、機能の拡張や「アンロック」を約束するサードパーティ製ファームウェア・イメージのダウンロードを避けるべきである。

Android TVデバイスは、必要なければリモートアクセス機能を無効にすべきであり、使用しないときはオフラインにすることも効果的な戦略である。

最終的には、IoTデバイスは、ネットワーク・レベルで機密データを保持する貴重なデバイスから隔離されるべきである。