Aramizda
Aktif Üye
Botnet “Vo1d” yüz binlerce Android TV setinde aktif olmaya devam ediyor
2024'ün sonundan şimdiye kadar, güvenlik uzmanı tarafından “VO1D” olarak adlandırılan botnet, en son analizlere göre daha da yayıldı. En üstte, XLAB güvenlik araştırmacıları, Android TV'nin resmi olmayan sürümleriyle çalışan ve VO1D'de yer alan yaklaşık 1.6 milyon aktif cihaz gözlemledi.
Reklamcılık
Araştırmacılar ayrıntılı bir blog yazısında yazarken, kötü amaçlı yazılımların yeni bir varyantı kullanıldı. İlk olarak Kasım 2024'ün sonunda “JDDX” adıyla yürütülebilir bir dosyada keşfedildi. 2024'te gözlemlenen VO1D ile teknik benzerlikler kullanarak, analistler bu kötü amaçlı yazılım ailesinin yazılımını atadı. XLab, yeni VO1D kabilesinin muhtemelen sadece açık kaynak şubesinden bir Android ile cihazlara saldırdığını açıkça söylemiyorsa, bu bile sonuçlandırılabilir.
Sadece resmi olmayan AOSP cihazlarında
Kötü amaçlı yazılımların keşfinden sonra Google, geçen yıl “Android TV” ile pazarlanan televizyonlar gibi Play Protect ile korunan cihazlarda çalışmadığını açıkça belirtmişti. Daha ziyade, Google'a göre, VO1D yalnızca AOSP'nin değiştirilmiş bir sürümünün sözde bir Android TV olarak çoğaltıldığı set üstü kutularda etkin olmalıdır. Resmi Android TV setlerinin aksine, bu tür cihazlar orijinal cihazların fiyatlarının bir kısmı için çok sayıda gönderene sahip olmalıdır. XLab şimdi VO1D'nin yayılmasının tedarik zincirinde daha önce başlamış olabileceğine dikkat çekiyor.
Güvenlik araştırmacılarına göre, üreticiler kutulardaki kötü amaçlı yazılımları karşılamak için kötü amaçlı yazılım çeteleriyle zaten çalışmış olabilirlerdi. XLab'a göre başka bir dağıtım kanalı, şüpheli akış teklifleri için kullanıcılar tarafından yüklenen yazılım olabilir. Bu genellikle yasadışı hizmetlerle, XLab'a göre, diğer kötü amaçlı yazılımlar kolayca ele alınabilir. Ek olarak, VO1D için bir başka olası enfeksiyon yolu hala belirsizdir.
Proxy, sahte trafik ve dolandırıcılık
Yeni VO1D'nin gözlemlenmesi döneminde, araştırmacılar Ocak 2025'te yaklaşık 1,6 milyon cihaz kaydetti. Bu sayı yaklaşık 800.000 aktif kurulum yaptı. XLab bunu, Botnet operatörlerinin, kaçırılan cihazları diğer çetelere satmış olabileceği gerçeğine bağlar. XLab'a göre, VO1D operatörlerinin kendilerine sunduğu hizmetlerden biri proxy ağını görmek zor. Hileli reklamcılık ve yine reklamcılık üzerine imal edilmiş trafik, aynı zamanda tıklama sahtekarlığı gibi iş modelinin bir parçasıdır.
XLab'ın blog yazısı, ilk sürümlerden daha iyi şifreleme ve keşife karşı genişletilmiş koruma dahil olmak üzere VO1D'nin çok sayıda teknik özelliğini listeler. Düzinelerce alan ve komut ve kontrol sunucuları ile kapsamlı bir çevrimiçi altyapı da vardır. Görünüşe göre profesyonelce oyunculuk siber suç organizasyonu VO1D'nin arkasında.
Almanya'da 17.000 cihaz
Şubat ayının ilk iki haftasında XLAB ayrıca VO1D'nin bölgesel dağılımını analiz etti. Genel olarak, aktif cihazlar çoğunlukla dünyanın küresel güneyinde, neredeyse dörtte biri Brezilya'da bulunur. Bunu yüzde 13,6 ile Güney Afrika ve yüzde 10,54 ile Endonezya izliyor. Bundan sonra, sadece tekli yüzdeler var, Almanya'daki cihazlar yüzde 2,17 oluşturmalı. Bir bütün olarak 800.000 aktif VO1D cihazına dayanarak, bu hala bu ülkede 17.000'den fazla makine olacaktır, bu da şirketler gibi orta ölçekli hedeflere DDOS saldırıları için kesinlikle yeterli olacaktır. Set üstü kutular gibi sözde sorunsuz cihazlarda bot ağlarının riski hala artmaktadır.
(Asla)