تهاجم خاموش : بات‌نت Vo1d تعداد 1.6 میلیون تلویزیون اندروید را به بردگی گرفت!

مجرمان سایبری  قابلیت‌های بات نت Vo1d را به طور مستمر بهبود داده‌اند، که طی شش ماه گذشته رشد چشمگیری داشته است. بات‌نت Vo1d  اکنون بیش از ۱.۶ میلیون دستگاه Android TV را تحت کنترل خود دارد، در حالی که شش ماه پیش این تعداد ۱.۳ میلیون دستگاه بود.

در سپتامبر ۲۰۲۴، شرکت امنیتی روسی Doctor Web  هشدار داد که ۱.۳ میلیون دستگاه Android TV در سراسر جهان به بات‌نت Vo1d آلوده شده‌اند. علاوه بر این، شرکت امنیتی چینی QiAnXin یا QAX نیز این تهدید را ردیابی کرده و روز 27 فوریه اعلام کرد که تاکنون حدود ۹۰ نمونه‌ی جدید از این بدافزار شناسایی شده است.

محققان این شرکت مشاهده کرده‌اند که هر روز تقریباً ۸۰۰,۰۰۰ آدرس IP منحصربه‌فرد در ارتباط با این بات‌نت فعالیت دارند، که در ۱۴ ژانویه ۲۰۲۵ به اوج خود یعنی ۱.۶ میلیون دستگاه رسیده است.

افزایش توانمندی‌های مخفی‌کاری و مقاومت بات‌نت Vo1d 

بر اساس گزارش QiAnXin، بات‌نت Vo1d در زمینه پنهان کاری، مقاومت و قابلیت‌های ضدشناسایی پیشرفت قابل‌توجهی داشته است. مجرمان سایبری برای جلوگیری از تصاحب دامنه های سرور کنترل و فرمان (C&C) از رمزگذاری RSA برای ایمن‌سازی ارتباطات خود استفاده می‌کنند.

علاوه بر این، انعطاف‌پذیری و پایداری بات‌نت با استفاده از تعیین/ تغییر مسیر سرورهای (C&C) مبتنی بر DGA(الگوریتم تولید دامنه) و آدرس های هاردکد شده بهبود یافته است. به‌منظور دشوارتر کردن تحلیل بدافزار، هر پیلود این بدافزار دارای دانلودر منحصربه‌فرد با رمزگذاری XXTEA و کلیدهای محافظت‌شده با RSA است.

استفاده‌های مختلف از بات‌نت  Vo1d

بات‌نت Vo1d  تاکنون عمدتاً برای خدمات پروکسی ناشناس و کلاهبرداری از طریق تبلیغات کلیکی مورد استفاده قرار گرفته است. خدمات پروکسی می‌توانند سود زیادی برای مجرمان سایبری به همراه داشته باشند، در پرونده‌ی بات نت 911 S5 دیده شد که برای عاملان حمله ۹۹ میلیون دلار درآمد ایجاد کرد. بات‌نت 911 S5 (معروف به Cloud Router) یکی از بزرگ‌ترین شبکه‌های پروکسی جهان بود که از صدها هزار دستگاه آلوده برای ایجاد یک شبکه عظیم پروکسی استفاده می‌کرد. در مه ۲۰۲۴، مقامات آمریکایی این بات‌نت را از بین بردند و مدیر اصلی آن، که تبعه چینی بود، دستگیر شد.

چنین بات‌نت بزرگی می‌تواند برای مقاصد دیگری نیز مورد سوءاستفاده قرار گیرد، از جمله:

• راه‌اندازی حملات گسترده‌ی  DDoS
• پخش محتوای غیرمجاز از طریق دستگاه‌های آلوده‌ی  Android TV

بیشترین آلودگی‌های ناشی از بات‌نت Vo1d  در برزیل مشاهده شده که ۲۵٪ از کل دستگاه‌های آلوده را شامل می‌شود. پس از آن، آفریقای جنوبی (۱۳٪)، اندونزی (۱۰٪)، آرژانتین (۵٪)، تایلند (۳٪) و چین (۳٪) در رتبه‌های بعدی قرار دارند. در مجموع، آلودگی این بدافزار در بیش از ۲۰۰ کشور و منطقه ثبت شده است.

روش‌های آلوده‌سازی دستگاه‌های  Android TV

محققان بر این باورند که آلودگی این دستگاه‌ها به دو روش اصلی انجام می‌شود:

1. حملات زنجیره تأمین(Supply Chain Attack): برخی تولیدکنندگان به‌صورت پیش‌فرض بدافزار را روی دستگاه‌های خود نصب می‌کنند.
2. نصب نرم‌افزارهای مخرب توسط کاربران: کاربران به دلیل عدم رعایت نکات امنیتی، برنامه‌های مخربی را که به‌عنوان ابزارهای مفید و کاربردی معرفی می‌شوند، دانلود و نصب می‌کنند.

علاوه بر این، محققان QiAnXin اعلام کرده‌اند که نشانه‌هایی از ارتباط بین بات‌نت Vo1d و بات‌نت Bigpanzi مشاهده کرده‌اند. این نشان می‌دهد که ممکن است این دو بات‌نت با هم مرتبط بوده یا به‌طور همزمان در حال فعالیت باشند. Vo1d و Bigpanzi ارتباط نزدیکی با یکدیگر دارند و احتمال دارد که از زیرساخت‌ها و تکنیک‌های مشترکی برای گسترش و پنهان ماندن استفاده کنند. هر دو بات‌نت تهدید بزرگی برای کاربران دستگاه‌های Android TV محسوب می‌شوند و نشان‌دهنده یک روند رو به رشد در سوءاستفاده از این دستگاه‌ها برای جرایم سایبری هستند.

منابع: