Brasil, Sudáfrica, Indonesia, Argentina y Tailandia se han convertido en los objetivos de una campaña que ha infectado a los dispositivos de TV Android con un malware Botnet doblado VO1D.
Se ha encontrado que la variante mejorada de VO1D abarca 800,000 direcciones IP activas diarias, con la botnet escalando un pico de 1,590,299 el 19 de enero de 2025, que abarca 226 países. A partir del 25 de febrero de 2025, India ha experimentado un aumento notable en la tasa de infección, aumentando de menos del 1% (3,901) al 18.17% (217,771).
“VO1D ha evolucionado para mejorar su sigilo, resiliencia y capacidades anti-detección”, Qianxin XLAB dicho. “El cifrado RSA asegura la comunicación de la red, evitando [command-and-control] adquisición incluso si [the Domain Generation Algorithm] Los dominios están registrados por investigadores. Cada carga útil utiliza un descargador único, con cifrado XXTEA y claves protegidas por RSA, lo que hace que el análisis sea más difícil “.
Doctor Web documentó por primera vez el malware en septiembre de 2024 como que afectan las cajas de TV basadas en Android por medio de una puerta trasera que es capaz de descargar ejecutables adicionales basados en instrucciones emitidas por el servidor de comando y control (C2).
No está exactamente claro cómo tienen lugar los compromisos, aunque se sospecha que implica algún tipo de ataque de cadena de suministro o el uso de versiones de firmware no oficiales con acceso a raíz incorporado.
Google le dijo a The Hacker News en ese momento que los modelos de TV “fuera de marca” infectados no eran dispositivos Android certificados por Protex y que probablemente usaron el código fuente del repositorio de código del Proyecto Open Open de Android (AOSP).
La última iteración de la campaña de malware muestra que está operando a una escala masiva con la intención de facilitar la creación de una red proxy y actividades como el fraude de clics publicitarios.
XLAB teorizó que la rápida fluctuación en la actividad de Botnet probablemente se deba a que su infraestructura se arriende en regiones específicas a otros actores criminales como parte de lo que dijo es un ciclo de “retorno de alquiler” donde los bots se alquilan por un período de tiempo establecido para permitir operaciones ilegales, después de lo cual se unen a la red VO1D más grande.
Un análisis de la versión más nueva del Malware ELF (S63) ha encontrado que está diseñado para descargar, descifrar y ejecutar una carga útil de la segunda etapa responsable de establecer comunicaciones con un servidor C2.
El paquete comprimido descifrado (TS01) contiene cuatro archivos: Install.Sh, CV, VO1D y X.APK. Comienza con el script de shell que inicia el componente CV, que, a su vez, inicia tanto VO1D como la aplicación Android después de la instalación.
La función principal del módulo VO1D es descifrar y cargar una carga útil integrada, una puerta trasera que es capaz de establecer la comunicación con un servidor C2 y descargar y ejecutar una biblioteca nativa.
“Su funcionalidad central permanece sin cambios”, dijo Xlab. “Sin embargo, ha sufrido actualizaciones significativas a sus mecanismos de comunicación de red, en particular la introducción de un redirector C2. El redirector C2 sirve para proporcionar al BOT la dirección real del servidor C2, aprovechando un redirector C2 codificado y un gran grupo de dominios generados por un DGA para construir una arquitectura de red expansiva”.
Por su parte, la aplicación de Android malicioso lleva el nombre del paquete “com.google.android.gms.stable” en lo que es un intento claro de disfrazarse como el legítimo Servicios de Google Play (“com.google.android.gms”) para volar bajo el radar. Establece persistencia en el host escuchando el evento “Boot_completed” para que se ejecute automáticamente después de cada reinicio.
También está diseñado para lanzar otros dos componentes que tienen una funcionalidad similar a la del módulo VO1D. La cadena de ataque allana el camino para el despliegue de un malware modular de Android llamado MZMess que incorpora cuatro complementos diferentes –
- POPA (“com.app.mz.popan”) y jaguar (“com.app.mz.jaguarn”) para servicios proxy
- Lxhwdg (“com.app.mz.lxhwdgn”), cuyo propósito sigue siendo desconocido debido a que su servidor C2 está fuera de línea
- Spirit (“com.app.mz.spiritn”) para la promoción de anuncios e inflación del tráfico
La falta de superposiciones de infraestructura entre MZMess y VO1D ha planteado la posibilidad de que la amenaza detrás de la actividad maliciosa pueda estar alquilando el servicio a otros grupos.
“Actualmente, VO1D se usa para obtener ganancias, pero su control total sobre los dispositivos permite a los atacantes pivotar a ataques cibernéticos a gran escala u otras actividades criminales [such as distributed denial-of-service (DDoS) attacks]”Dijo Xlab.” Los piratas informáticos podrían explotarlos para transmitir contenido no autorizado “.
About the Author
