Brezilya, Güney Afrika, Endonezya, Arjantin ve Tayland su.
VO1D’nin geliştirilmiş varyantının günde 800.000 aktif IP adresini kapsadığı bulunmuştur ve BotNet, 19 Ocak 2025’te 226 ülkeyi kapsayan 1.590.299 pik ölçeklendirir. 25 Şubat 2025 itibariyle Hindistan enfeksiyon oranında kayda değer bir artış yaşadı ve% 1’den (3.901) daha azından% 18.17’ye (217,771) arttı.
Qianxin Xlab, “VO1D, gizliliğini, esnekliğini ve algılama karşıtı yeteneklerini geliştirmek için gelişti.” Dedi. “RSA şifrelemesi, ağ iletişimini korur ve önler [command-and-control] Hatta devralma [the Domain Generation Algorithm] Alan adları araştırmacılar tarafından kaydedilmiştir. Her yük, XXTEA şifrelemesi ve RSA korumalı anahtarlarla benzersiz bir indirici kullanır ve analizi daha zor hale getirir. “
Kötü amaçlı yazılım, ilk olarak Eylül 2024’te Doctor Web tarafından, komut ve kontrol (C2) sunucusu tarafından verilen talimatlara dayanarak ek yürütülebilir ürünler indirebilen bir arka kapı aracılığıyla Android tabanlı TV kutularını etkilediği olarak belgelenmiştir.
Bir tür tedarik zinciri saldırısı veya yerleşik kök erişimi olan resmi olmayan ürün yazılımı sürümlerinin kullanılmasından şüphelenilse de, uzlaşmaların nasıl gerçekleştiği tam olarak açık değildir.
Google, enfekte “marka dışı” TV modellerinin koruma sertifikalı Android cihazları oynamadığını ve Android Açık Kaynak Projesi (AOSP) kod deposundan kaynak kodu kullandıklarını söyledi.
Kötü amaçlı yazılım kampanyasının en son yinelemesi, bir vekil ağın oluşturulmasını kolaylaştırmak amacıyla büyük bir ölçekte çalıştığını ve reklam tıklama sahtekarlığı gibi etkinlikler olduğunu göstermektedir.
XLAB, BOTNET aktivitesindeki hızlı dalgalanmanın, altyapısının diğer suç aktörlerine belirli bölgelerde kiralanmasından kaynaklandığını, botların yasadışı operasyonları sağlamak için belirli bir zaman dilimi için kiralandığı bir “kira dönüşü” döngüsünün bir parçası olduğunu, ardından daha büyük VO1D ağına katıldığını teorize etti.
ELF kötü amaçlı yazılımların (S63) daha yeni sürümünün bir analizi, bir C2 sunucusuyla iletişim kurmaktan sorumlu ikinci aşamalı bir yükü indirmek, şifresini çözmek ve yürütmek için tasarlandığını bulmuştur.
Şifre çözülmüş sıkıştırılmış paket (TS01) dört dosya içerir: Install.sh, CV, VO1D ve X.APK. Kabuk komut dosyası ile başlar ve kurulumdan sonra hem VO1D hem de Android uygulamasını başlatan CV bileşenini başlatır.
VO1D modülünün birincil işlevi, bir C2 sunucusu ile iletişim kurabilen ve yerel bir kütüphaneyi indirip yürütebilen bir arka kapı olan gömülü bir yükün şifresini çözmek ve yüklemektir.
“Temel işlevselliği değişmeden kalır,” dedi Xlab. “Bununla birlikte, ağ iletişimi mekanizmalarında önemli güncellemeler geçirdi, özellikle de bir yeniden yönetmen C2’yi tanıttı. Kayıt direktörü C2, BOT’a gerçek C2 sunucu adresini sağlamaya hizmet eder ve bir genişletici ağ mimarisi oluşturmak için bir DGA tarafından üretilen büyük bir DGA havuzunu kullanır.”
Kötü niyetli Android uygulaması, “com.google.android.gms.stable” paket adını, meşru Google Play Services (“com.google.android.gms”) olarak radarın altına uçmak için net bir girişimde bulunur. “Boot_completed” olayı dinleyerek her yeniden başlatmadan sonra otomatik olarak çalışması için ana bilgisayarda kalıcılık oluşturur.
Ayrıca, VO1D modülüne benzer bir işlevselliğe sahip iki bileşen daha başlatmak için tasarlanmıştır. Saldırı zinciri, dört farklı eklenti için birleştiren Mzmess adlı modüler bir android kötü amaçlı yazılımın dağıtımının yolunu açar –
- Proxy Services için Popa (“Com.app.mz.Popan”) ve Jaguar (“com.app.mz.jaguarn”)
- C2 sunucusunun çevrimdışı olması nedeniyle amacı bilinmeyen kaldığı lxhwdg (“com.app.mz.lxhwdgn”)
- Reklam tanıtımı ve trafik enflasyonu için ruh (“com.app.mz.spiritn”)
MZMESS ve VO1D arasındaki altyapı örtüşmelerinin olmaması, kötü niyetli etkinliğin arkasındaki tehdidin hizmeti diğer gruplara kiralayabileceği olasılığını artırdı.
“Şu anda VO1D kar için kullanılmaktadır, ancak cihazlar üzerindeki tam kontrolü, saldırganların büyük ölçekli siber saldırılara veya diğer suç faaliyetlerine dönmesini sağlar [such as distributed denial-of-service (DDoS) attacks]”Xlab dedi.” Bilgisayar korsanları yetkisiz içerik yayınlamak için onları kullanabilirler. “