Il panorama della sicurezza informatica è costantemente minacciato da malware sofisticati, e l'ultimo allarme riguarda il botnet Vo1d, che ha infettato oltre 1,59 milioni di dispositivi Android TV in 226 paesi. Questo malware ha colpito principalmente paesi come Brasile, Sudafrica, Indonesia, Argentina e Thailandia, trasformando i dispositivi in parte di una vasta rete di proxy utilizzata per attività illecite come il click fraud pubblicitario.

Il botnet Vo1d

Il botnet Vo1d è stato documentato per la prima volta nel settembre 2024 ed è noto per attaccare dispositivi Android TV utilizzando un backdoor capace di scaricare eseguibili aggiuntivi su comando del server C2 (Command and Control). Non è ancora chiaro come questi dispositivi vengano compromessi, ma si sospetta l'uso di firmware non ufficiali o attacchi alla supply chain. Google ha dichiarato che i modelli di TV infetti non sono certificati da Play Protect e utilizzano probabilmente il codice sorgente del progetto AOSP (Android Open Source Project).

Varianti recenti e analisi del malware

La più recente variante del malware dimostra che il botnet opera su una scala massiccia, con l'intento di creare una rete proxy e facilitare attività come la frode pubblicitaria. XLab ha teorizzato che l'attività fluttuante del botnet sia dovuta alla sua infrastruttura, affittata a criminali in specifiche regioni per periodi di tempo determinati.

L'analisi del malware ELF più recente (s63) ha rivelato che è progettato per scaricare, decriptare ed eseguire un payload di seconda fase, stabilendo comunicazioni con il server C2. Il pacchetto decriptato include file come install.sh, cv, vo1d e x.apk, con il modulo vo1d che decripta e carica un payload incorporato, un backdoor capace di comunicare con un server C2 e scaricare ed eseguire una libreria nativa.

L'app Android malevola

In questo contesto, l'app Android malevola associata cerca di mascherarsi come un servizio Google Play legittimo, usando il nome di pacchetto "com.google.android.gms.stable". Questo le permette di passare inosservata e di stabilire la persistenza sul dispositivo infetto.

Deployment di Mzmess

L'attacco apre la strada al deployment di un malware Android modulare chiamato Mzmess, che include plugin per servizi proxy e promozione pubblicitaria. L'assenza di sovrapposizioni infrastrutturali tra Mzmess e Vo1d suggerisce che chi sta dietro a queste attività possa affittare il servizio ad altri gruppi.

Attualmente, Vo1d viene utilizzato a scopo di profitto, ma il controllo totale sui dispositivi infetti offre ai criminali informatici la possibilità di eseguire attacchi su larga scala, come attacchi DDoS o la diffusione non autorizzata di contenuti.