Brasil, Sudáfrica, Indonesia, Argentina y Tailandia se han convertido en los objetivos de una campaña que ha infectado a los dispositivos de TV Android con un malware Botnet doblado Agua.
Se ha opuesto que la modificación mejorada de VO1D zapatilla 800,000 direcciones IP activas diarias, con la botnet escalando un pico de 1,590,299 el 19 de enero de 2025, que zapatilla 226 países. A partir del 25 de febrero de 2025, India ha experimentado un aumento importante en la tasa de infección, aumentando de menos del 1% (3,901) al 18.17% (217,771).
“VO1D ha evolucionado para mejorar su sigilo, resistor y capacidades anti-detección”, dijo Qianxin XLAB. “El enigmático de RSA asegura la comunicación de la red, evitando los investigadores (cada carga de comando y control) incluso si (el operación de concepción de dominio) están registrados por los investigadores. Cada carga útil utiliza un descargador único, con enigmático XXTEA y claves protegidas con RSA, haciendo que el prospección sea más difícil”.
Doctor Web documentó por primera vez el malware en septiembre de 2024 como que afectan las cajas de TV basadas en Android por medio de una puerta trasera que es capaz de descargar ejecutables adicionales basados en instrucciones emitidas por el servidor de comando y control (C2).
No está exactamente claro cómo tienen punto los compromisos, aunque se sospecha que implica algún tipo de ataque de esclavitud de suministro o el uso de versiones de firmware no oficiales con entrada a raíz incorporado.
Google le dijo a The Hacker News en ese momento que los modelos de TV “fuera de marca” infectados no eran dispositivos Android certificados por Protex y que probablemente usaron el código fuente del repositorio de código del Tesina Open Open de Android (AOSP).
La última iteración de la campaña de malware muestra que está operando a gran escalera con la intención de allanar la creación de una red proxy y actividades como el fraude de clics publicitarios.
XLAB teorizó que la rápida fluctuación en la actividad de Botnet probablemente se deba a que su infraestructura se arriende en regiones específicas a otros actores criminales como parte de lo que dijo es un ciclo de “retorno de arrendamiento” donde los bots se alquilan por un período de tiempo establecido para permitir operaciones ilegales, posteriormente de lo cual se unen a la red VO1D más alto.
Un prospección de la traducción más nueva del Malware ELF (S63) ha opuesto que está diseñado para descargar, descifrar y ejecutar una carga útil de la segunda etapa responsable de establecer comunicaciones con un servidor C2.
El paquete comprimido descifrado (TS01) contiene cuatro archivos: Install.Sh, CV, VO1D y X.APK. Comienza con el script de shell que inicia el componente CV, que, a su vez, inicia tanto VO1D como la aplicación Android posteriormente de la instalación.
La función principal del módulo VO1D es descifrar y cargar una carga útil integrada, una puerta trasera que es capaz de establecer la comunicación con un servidor C2 y descargar y ejecutar una biblioteca nativa.
“Su funcionalidad central permanece sin cambios”, dijo Xlab. “Sin requisa, ha sufrido actualizaciones significativas a sus mecanismos de comunicación de red, en particular la preparación de un redirector C2. El redirector C2 sirve para proporcionar al BOT la dirección efectivo del servidor C2, aprovechando un redirector C2 codificado y un gran género de dominios generados por un DGA para construir una construcción de red expansiva”.
Por su parte, la aplicación Maliciosa de Android lleva el nombre del paquete “com.google.android.gms.stable” en lo que es un claro intento de disfrazarse como los servicios legítimos de Google Play (“com.google.android.gms”) para explosionar bajo el radar. Establece persistencia en el host escuchando el evento “Boot_completed” para que se ejecute automáticamente posteriormente de cada reinicio.
Todavía está diseñado para editar otros dos componentes que tienen una funcionalidad similar a la del módulo VO1D. La esclavitud de ataque allana el camino para el despliegue de un malware modular de Android llamado MZMess que incorpora cuatro complementos diferentes –
- POPA (“com.app.mz.popan”) y jaguar (“com.app.mz.jaguarn”) para servicios proxy
- Lxhwdg (“com.app.mz.lxhwdgn”), cuyo propósito sigue siendo desconocido adecuado a que su servidor C2 está fuera de secante
- Spirit (“com.app.mz.spiritn”) para la promoción de anuncios e inflación del tráfico
La desatiendo de superposiciones de infraestructura entre MZMess y VO1D ha planteado la posibilidad de que la amenaza detrás de la actividad maliciosa pueda estar alquilando el servicio a otros grupos.
“Actualmente, VO1D se usa para obtener ganancias, pero su control total sobre los dispositivos permite a los atacantes pivotar a ataques cibernéticos a gran escalera u otras actividades criminales (como ataques distribuidos de negativa de servicio (DDoS))”, dijo XLAB. “Los piratas informáticos podrían explotarlos para transmitir contenido no facultado”.
