Nieuwe variant gigantisch Android TV-botnet ‘V0id’ ontdekt
Regelmatig duikt er nieuws op over Android TV-botnets. In december werd nog bekend dat het BadBox-botnet ruim 200.000 Android-apparaten had getroffen. Eind 2023 becijferden onderzoekers van het Amerikaanse beveiligingsbedrijf HUMAN dat er op dat moment al ruim 20 miljoen geïnfecteerde Android TV-apparaten waren verkocht. Inmiddels ligt dat aantal waarschijnlijk aanzienlijk hoger. Een groot deel van die apparaten draait de inmiddels bekende V0id-malware.
’s Werelds grootste Android TV-botnet
V0id is inmiddels een van de grootste Android TV-botnets, met 1.590.229 geïnfecteerde apparaten, meldt Xlab. In september 2024 werd het aantal ook al eens in kaart gebracht: toen ging het volgens onderzoekers van Dr. Web Antivirus om 1,3 miljoen apparaten. Uit het onderzoek van Xlab blijkt bovendien dat het botnet zich verder heeft ontwikkeld.
Het V0id-botnet – met momenteel ongeveer 800.000 actieve bots – maakt nu namelijk gebruik van geavanceerde versleuteling (RSA en aangepaste XXTEA). Ook is de infrastructuur achter het botnet verbeterd met DGA (Domain Generation Algorithm) en geavanceerde ‘stealth-capaciteiten’. Opmerkelijker is het nog dat de aanvallers zich niet hebben laten afschrikken door recente ontdekkingen, maar de malware met succes verder blijven ontwikkelen.
Het gevaar van zo’n omvangrijk botnet wordt duidelijk wanneer gekeken wordt naar het Mirai-botnet, dat vorig jaar een DDoS-aanval van ongekende schaal uitvoerde. Cloudflare, dat (grote) bedrijven tegen DDoS-aanvallen beschermt, kreeg toen te maken met een datastroom van 5,6 Tbps. V0id zou zo’n aanval kunnen overtreffen. Het botnet heeft meer actieve bots dan zowel Bigpanzi – tot nu toe een van de grootste botnets – als Mirai.
Apparaten worden gehuurd
Het lijkt er overigens op dat de aanvallers apparaten ‘huren’ voor hun aanvallen en deze omzetten tot proxyservers, net zoals dat gebeurt met Android TV-apparaten die zijn geïnfecteerd met de V0id-malware. Dit verklaart ook de pieken in het aantal actieve bots. Nadat V0id in januari een piek van ruim 1,5 miljoen bots bereikte, daalde dit aantal razendsnel naar minder dan een miljoen.
De aanvallers gebruiken het botnet overigens niet alleen voor DDoS-aanvallen. Bekend is dat ze ook proxyservers opzetten om hun criminele activiteiten en locatie te verhullen. Daarnaast worden botnets op Android TV-apparaten ingezet voor advertentiefraude: de malware simuleert advertentieweergaven om advertentie-inkomsten te genereren.
Verspreiding en impact
Doorgaans draait dit type malware op (goedkope) Chinese Android TV-apparaten, die ook via Amazon verkrijgbaar zijn. V0id is met name actief in Brazilië (25%), gevolgd door Zuid-Afrika (13,6%), Indonesië (10,5%), Argentinië (5,3%), Thailand (3,4%) en China (3,1%). Europese gebruikers lijken nauwelijks getroffen te worden door de malware, wat ook het geval was bij eerdere botnets.
