Sofisticirana botnet operacija kompromitovala je 1,6 miliona Android TV uređaja u 226 zemalja, koristeći napredne algoritme za generisanje domena i tehnike kriptografskog izbjegavanja kako bi se stvorila najveća poznata IoT prijetnja od Mirai napada 2016 .
Nazvana Vo1d, ova operacija predstavlja promjenu paradigme u otmici uređaja velikih razmjera kroz njegovu višeslojnu infrastrukturu i novu ASR-XXTEA varijantu enkripcije.
Kampanja je počela 28. novembra 2024. godine, kada su istraživači otkrili IP 38.46.218.36 koji distribuiše jddx ELF loader koristeći prikrivanje stringova u Bigpanzi stilu.
Trostepeni sistem isporuke
Komponente učitavača: Početni programi za preuzimanje kao što je s63 uspostavljaju TLS 1.3 veze sa tvrdo kodiranim C2s (ssl8rrs2.com:55600) koristeći RSA-2048/OAEP padding za razmjenu ključeva. Svaka sesija pregovara o jedinstvenim XXTEA-128 ključevima kroz:
Zamagljivanje korisnog opterećenja: Moduli druge faze poput ts01 koriste modifikacije aritmetičkog pomaka udesno (ASR) u XXTEA. Ovo onemogućava standardne alate za dešifrovanje uz održavanje kompatibilnosti unatrag.
Mehanizmi postojanosti: Konačni korisni učinci postavljaju DexLoader APK-ove (MD5: 68ec86a761233798142a6f483995f7e9) maskirajući se u Google Play usluge, koristeći lažiranje XML atributa.
Vo1d-ova infrastruktura koristi 258 DGA sedova koji generišu 21.120 domena širom .com/.net/.top TLD-ova, sa obrascima od 32 karaktera kao što je z{mask}2940637fafa.com.
„Dana 8. decembra 2024., dok smo nadgledali 135 miliona Bot IP-ova kroz ponor DGA C2, primijetili smo neobično nizak broj infekcija u Kini, samo nekoliko desetina slučajeva uprkos ogromnom broju Android TV uređaja u zemlji“, navodi se u izvještaju XLaba .
Geopolitički uticaj
Stope zaraze pokazuju alarmantnu volatilnost na tržištima u razvoju:
Indija:
- 1. februar: 3.901 aktivni čvor
- 23. februar: 217.771 čvorova (povećanje od 55x)
- 25. februar: 94.302 čvora (pad od 76%)
Kina:
- 15. decembar: 47 aktivnih čvorova
- Januar 18: 20,112 čvorova nakon .com DGA registracije
- 25. februar: 49.887 čvorova
Istraživači ove fluktuacije pripisuju modelu „iznajmljivanja botnet-a“ gdje kriminalne grupe privremeno nabavljaju klastere uređaja za DDoS (≤5,6 Tbps) ili proxy usluge.
ASR-XXTEA potpisi detekcije:
Uprkos ovim naporima, 800.000+ uređaja ostaje aktivno od 28. februara 2025. godine, s novim dodacima Mzmess koji omogućavaju:
- Rezidencijalne proxy mreže (p6332/p8232 korisni tereti)
- Prevara oglasa putem task.moyu88.xyz klik injekcije
- Političke dezinformacije putem deepfake video injekcije
Probijanje HUD-a demonstrira Vo1d-ove mogućnosti manipulacije medijima, koristeći prisilne protokole AV sinhronizacije da bi se nadjačale HDMI-CEC kontrole.
Sa 1,6 miliona uređaja sposobnih da generišu 1,2 petabita/sek malicioznog saobraćaja, botnet predstavlja egzistencijalnu prijetnju za CDN provajdere (Cloudflare, Akamai), infrastrukturu emitovanja (ATSC 3.0 mreže) i pametne gradske IoT mreže.
Ova kriza koja se razvija naglašava hitnu potrebu za obaveznim otkrivanjem SBOM-a u lancima nabavke IoT- a i međunarodnom saradnjom kako bi se razgradila Vo1d infrastruktura.
Izvor: CyberSecurityNews