บอตเน็ต Vo1d แพร่กระจายติดอุปกรณ์ Android TV กว่า 1.6 ล้านเครื่องทั่วโลก

บริษัทวิจัยความปลอดภัย Xlab เปิดเผยว่าบอตเน็ต Vo1d รุ่นใหม่ได้แพร่กระจายติดอุปกรณ์ Android TV กว่า 1.6 ล้านเครื่องใน 226 ประเทศ โดยนำอุปกรณ์ที่ติดมัลแวร์มาใช้เป็นเครือข่าย Anonymous Proxy

ผลการวิจัยจาก Xlab ซึ่งได้ติดตามแคมเปญการโจมตีใหม่นี้ตั้งแต่เดือนพฤศจิกายนที่ผ่านมา พบว่าบอตเน็ตมีการเติบโตสูงสุดในวันที่ 14 มกราคม 2025 และปัจจุบันมีบอตที่ยังทำงานอยู่ราว 800,000 ตัว ซึ่งทำให้ Vo1d กลายเป็นหนึ่งในบอตเน็ตที่ใหญ่ที่สุดในช่วงหลายปีที่ผ่านมา มีขนาดใหญ่กว่าบอตเน็ต Bigpanzi, Mirai รุ่นแรก และบอตเน็ตที่ก่อให้เกิดการโจมตีแบบ DDoS ขนาด 5.6 Tbps ซึ่ง Cloudflare จัดการในปีที่แล้ว ที่น่าสนใจคือประเทศบราซิลได้รับผลกระทบมากที่สุดถึง 25% ตามด้วยแอฟริกาใต้ (13.6%), อินโดนีเซีย (10.5%), อาร์เจนตินา (5.3%), ไทย (3.4%) และจีน (3.1%)

บอตเน็ต Vo1d มีการพัฒนาให้มีความซับซ้อนมากขึ้นด้วยการเข้ารหัสขั้นสูง (RSA + custom XXTEA), โครงสร้างพื้นฐานที่ทนทานด้วย DGA (Domain Generation Algorithm) และความสามารถในการซ่อนตัวที่ดีขึ้น นอกจากนี้ยังมีโครงสร้างระบบควบคุม (C2) ที่โดดเด่น โดยใช้ DGA seeds 32 ตัวเพื่อสร้างโดเมน C2 มากกว่า 21,000 โดเมน การสื่อสารกับ C2 ได้รับการป้องกันด้วยกุญแจ RSA 2048-bit ทำให้แม้แต่นักวิจัยที่สามารถระบุและลงทะเบียนโดเมน C2 ก็ไม่สามารถออกคำสั่งให้กับบอตได้ นักวิจัยยังพบว่ามีการเพิ่มและลดจำนวนบอตอย่างรวดเร็วในบางพื้นที่ เช่น ในอินเดียที่เพิ่มจาก 3,900 เป็น 217,000 บอตภายในเพียง 3 วัน ซึ่งอาจเป็นเพราะผู้ดูแลบอตเน็ตให้ “เช่า” อุปกรณ์เป็น Proxy Server ที่มักใช้ในการทำสิ่งผิดกฎหมายต่อไป

เนื่องจากยังไม่ทราบวิธีการกระจายตัวของบอตเน็ตตัวนี้อย่างละเอียด แนะนำให้ผู้ใช้งาน Android TV ซื้ออุปกรณ์จากตัวแทนจำหน่ายที่น่าเชื่อถือ, ติดตั้งอัปเดตเฟิร์มแวร์และความปลอดภัย, หลีกเลี่ยงการดาวน์โหลดแอปนอก Google Play, ปิดใช้งานคุณสมบัติการเข้าแบบ Remote หากไม่จำเป็น, และแยกอุปกรณ์ IoT ออกจากอุปกรณ์ที่เก็บข้อมูลสำคัญในระดับเครือข่าย

ที่มา: https://www.bleepingcomputer.com/news/security/vo1d-malware-botnet-grows-to-16-million-android-tvs-worldwide/