{"id":1604905,"date":"2025-03-03T06:48:58","date_gmt":"2025-03-03T06:48:58","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-pico-de-botnet-de-vo1d-supera-a-159-millones-de-televisores-android-infectados-que-abarcan-226-paises\/"},"modified":"2025-03-03T06:49:03","modified_gmt":"2025-03-03T06:49:03","slug":"el-pico-de-botnet-de-vo1d-supera-a-159-millones-de-televisores-android-infectados-que-abarcan-226-paises","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-pico-de-botnet-de-vo1d-supera-a-159-millones-de-televisores-android-infectados-que-abarcan-226-paises\/","title":{"rendered":"El pico de Botnet de Vo1d supera a 1,59 millones de televisores Android infectados, que abarcan 226 pa\u00edses"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>03 de marzo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad m\u00f3vil \/ botnet<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Brasil, Sud\u00e1frica, Indonesia, Argentina y Tailandia se han convertido en los objetivos de una campa\u00f1a que ha infectado a los dispositivos de TV Android con un malware Botnet doblado VO1D<\/strong>.<\/p>\n

Se ha encontrado que la variante mejorada de VO1D abarca 800,000 direcciones IP activas diarias, con la botnet escalando un pico de 1,590,299 el 19 de enero de 2025, que abarca 226 pa\u00edses. A partir del 25 de febrero de 2025, India ha experimentado un aumento notable en la tasa de infecci\u00f3n, aumentando de menos del 1% (3,901) al 18.17% (217,771). <\/p>\n

“VO1D ha evolucionado para mejorar su sigilo, resiliencia y capacidades anti-detecci\u00f3n”, Qianxin XLAB dicho<\/a>. “El cifrado RSA asegura la comunicaci\u00f3n de la red, evitando [command-and-control] adquisici\u00f3n incluso si [the Domain Generation Algorithm] Los dominios est\u00e1n registrados por investigadores. Cada carga \u00fatil utiliza un descargador \u00fanico, con cifrado XXTEA y claves protegidas por RSA, lo que hace que el an\u00e1lisis sea m\u00e1s dif\u00edcil “.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Doctor Web document\u00f3 por primera vez el malware en septiembre de 2024 como que afectan las cajas de TV basadas en Android por medio de una puerta trasera que es capaz de descargar ejecutables adicionales basados \u200b\u200ben instrucciones emitidas por el servidor de comando y control (C2).<\/p>\n

No est\u00e1 exactamente claro c\u00f3mo tienen lugar los compromisos, aunque se sospecha que implica alg\u00fan tipo de ataque de cadena de suministro o el uso de versiones de firmware no oficiales con acceso a ra\u00edz incorporado.<\/p>\n

Google le dijo a The Hacker News en ese momento que los modelos de TV “fuera de marca” infectados no eran dispositivos Android certificados por Protex y que probablemente usaron el c\u00f3digo fuente del repositorio de c\u00f3digo del Proyecto Open Open de Android (AOSP).<\/p>\n

\"Botnet<\/a><\/div>\n

La \u00faltima iteraci\u00f3n de la campa\u00f1a de malware muestra que est\u00e1 operando a una escala masiva con la intenci\u00f3n de facilitar la creaci\u00f3n de una red proxy y actividades como el fraude de clics publicitarios.<\/p>\n

XLAB teoriz\u00f3 que la r\u00e1pida fluctuaci\u00f3n en la actividad de Botnet probablemente se deba a que su infraestructura se arriende en regiones espec\u00edficas a otros actores criminales como parte de lo que dijo es un ciclo de “retorno de alquiler” donde los bots se alquilan por un per\u00edodo de tiempo establecido para permitir operaciones ilegales, despu\u00e9s de lo cual se unen a la red VO1D m\u00e1s grande.<\/p>\n

Un an\u00e1lisis de la versi\u00f3n m\u00e1s nueva del Malware ELF (S63) ha encontrado que est\u00e1 dise\u00f1ado para descargar, descifrar y ejecutar una carga \u00fatil de la segunda etapa responsable de establecer comunicaciones con un servidor C2.<\/p>\n

El paquete comprimido descifrado (TS01) contiene cuatro archivos: Install.Sh, CV, VO1D y X.APK. Comienza con el script de shell que inicia el componente CV, que, a su vez, inicia tanto VO1D como la aplicaci\u00f3n Android despu\u00e9s de la instalaci\u00f3n.<\/p>\n

La funci\u00f3n principal del m\u00f3dulo VO1D es descifrar y cargar una carga \u00fatil integrada, una puerta trasera que es capaz de establecer la comunicaci\u00f3n con un servidor C2 y descargar y ejecutar una biblioteca nativa.<\/p>\n

\"Botnet<\/a><\/div>\n

“Su funcionalidad central permanece sin cambios”, dijo Xlab. “Sin embargo, ha sufrido actualizaciones significativas a sus mecanismos de comunicaci\u00f3n de red, en particular la introducci\u00f3n de un redirector C2. El redirector C2 sirve para proporcionar al BOT la direcci\u00f3n real del servidor C2, aprovechando un redirector C2 codificado y un gran grupo de dominios generados por un DGA para construir una arquitectura de red expansiva”.<\/p>\n

Por su parte, la aplicaci\u00f3n de Android malicioso lleva el nombre del paquete “com.google.android.gms.stable” en lo que es un intento claro de disfrazarse como el leg\u00edtimo Servicios de Google Play<\/a> (“com.google.android.gms”) para volar bajo el radar. Establece persistencia en el host escuchando el evento “Boot_completed” para que se ejecute autom\u00e1ticamente despu\u00e9s de cada reinicio.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Tambi\u00e9n est\u00e1 dise\u00f1ado para lanzar otros dos componentes que tienen una funcionalidad similar a la del m\u00f3dulo VO1D. La cadena de ataque allana el camino para el despliegue de un malware modular de Android llamado MZMess que incorpora cuatro complementos diferentes –<\/p>\n