160万个Android TVS被VO1D僵尸网络入侵和感染了全球

网络安全公司XLAB的研究人员发现，大型僵尸网络“ VO1D”的新变体已感染了200多个国家和地区的160万个Android TV设备，从而迅速扩大了其覆盖范围。

这一发展引起了人们对物联网（IoT）设备的安全性及其在大规模网络攻击中的潜在剥削的严重关注。

“想象一下，当屏幕突然闪烁，遥控器停止工作时，坐在沙发上看电视，并且程序被乱码的代码和令人毛骨悚然的命令所取代。您的电视好像被无形的力量劫持，成为了“数字木偶”。这不是科幻小说，而是一个真实的威胁。 VO1D僵尸网络默默地控制着全球数百万个Android电视设备，” XLAB研究人员写在周四的博客文章中。

根据XLAB研究人员的发现，VO1D恶意软件主要针对Android TVS和机顶盒，目前具有800,000个活跃的机器人。僵尸网络在2025年1月14日达到1,590,299。

VO1D僵尸网络利用低成本的Android电视盒中的安全缺陷，其中许多播放了过时的软件。

感染后，这些设备将集成到僵尸网络中，这是一个用于恶意活动的劫持系统网络，例如分布式拒绝服务（DDOS）攻击，加密货币挖掘和数据盗窃。

值得注意的是，该恶意软件通常在没有用户注意到任何即时感染迹象的情况下操作。

但是，受影响的设备可能会经历设备性能退化，意外弹出窗口或意外的网络活动。

XLAB的分析表明，VO1D采用复杂的技术来增强其隐身，韧性和反检测能力：

1. 增强的加密：恶意软件利用RSA加密进行网络通信，预防命令和控制（C2）接管，即使研究人员注册了DGA域。
2. 基础架构升级：VO1D同时结合了基于硬编码和域的生成算法（DGA）的重定向器C2，以提高灵活性和弹性。
3. 有效载荷交付优化：每个有效载荷都是通过唯一的下载器传递的，它采用XXTEA加密使用受RSA保护的密钥进行了更大的努力。

VO1D僵尸网络的快速扩散强调了物联网设备固有的脆弱性，尤其是那些具有过时的安全措施的漏洞。

尽管VO1D僵尸网络主要是为了利润而设计的，但其对设备的完全控制可以使攻击者能够进行大规模的网络攻击或其他犯罪活动。

例如，VO1D僵尸网络的纯粹比例超过了先前的威胁，例如原始的Mirai Botnet，以及2024年2024年Cloudflare纪录的5.6 TBPS DDOS攻击。

可以操纵折衷的设备以播放未经授权的内容，这证明了AI生成的镜头未经授权显示在电视上显示的事件。

截至2025年2月，巴西占感染的近25％，其次是南非（13.6％），印度尼西亚（10.5％），阿根廷（5.3％），泰国（3.4％）和中国（3.1％）。

为了保护这种威胁，Android电视和机顶盒用户可以采取预防措施，例如确保其设备正在运行最新软件，仅从受信任的来源下载应用程序，以最大程度地降低恶意软件感染的风险，从而更换默认密码，从而使用强大的独特的密码来增强设备安全性，并以增强网络活动的方式，以使网络活动的设备保持不合常规的设备，以构成不合常规的设备。