サイバーセキュリティ会社XLABの研究者は、巨大なボットネット「VO1D」の新しいバリアントが200以上の国と地域で160万以上のAndroid TVデバイスに感染し、そのリーチを急速に拡大していることを発見しました。
この開発は、モノのインターネット(IoT)デバイスのセキュリティと、大規模なサイバー攻撃での潜在的な搾取に関する深刻な懸念を提起します。
「ソファに座ってテレビを見ていると想像してください。突然画面がちらつき、リモートが動作しなくなり、プログラムが文字化けされたコードと不気味なコマンドに置き換えられます。あなたのテレビは、目に見えない力にハイジャックされているかのように、「デジタルパペット」になります。これはサイエンスフィクションではなく、現実的で成長している脅威です。 VO1Dボットネットは、世界中の何百万ものAndroid TVデバイスを静かに制御しています」とXLABの研究者書いた木曜日のブログ投稿で。
XLABの研究者の調査結果によると、主にAndroid TVSとSETTOPボックスをターゲットにしたVO1Dマルウェアは、現在80万個のアクティブボットを持っています。ボットネットは、2025年1月14日に1,590,299でピークに達しました。
VO1D BOTNETは、低コストのAndroid TVボックスのセキュリティの欠陥を悪用します。その多くは時代遅れのソフトウェアを実行しています。
感染すると、これらのデバイスはボットネットに統合されます。これは、分散拒否(DDO)攻撃、暗号通貨採掘、データ盗難などの悪意のあるアクティビティに使用されるハイジャックされたシステムのネットワークです。
特に、マルウェアは、多くの場合、ユーザーが感染の即時の兆候に気付かないことがよくありません。
ただし、影響を受けるデバイスは、デバイスのパフォーマンス、予期しないポップアップ、または予期しないネットワークアクティビティを劣化させる場合があります。
XLABの分析により、VO1Dは洗練された技術を採用してステルス、回復力、および検出能力を高めることが明らかになりました。
- 強化された暗号化:マルウェアは、DGAドメインが研究者によって登録されていても、ネットワーク通信にRSA暗号化を利用して、コマンドとコントロール(C2)テイクオーバーを防止します。
- インフラストラクチャのアップグレード:VO1Dには、柔軟性と回復力を向上させるために、ハードコード化されたおよびドメイン生成アルゴリズム(DGA)ベースのリダイレクターC2Sの両方が組み込まれています。
- ペイロード配信の最適化:各ペイロードは、RSAで保護されたキーを使用したXXTEA暗号化を使用して、分析と検出をより困難にし、一意のダウンローダーを介して配信されます。
VO1Dボットネットの急速な増殖は、IoTデバイスに固有の脆弱性、特に時代遅れのセキュリティ対策の脆弱性を強調しています。
VO1Dボットネットは主に利益のために設計されていますが、デバイスを完全に制御することで、攻撃者は大規模なサイバー攻撃またはその他の犯罪行為を実行できます。
たとえば、VO1Dボットネットの膨大なスケールは、元のMirai BotnetであるBigpanziのような以前の脅威や、2024年のCloudFlare Record-breaking 5.6 TBPS DDOS攻撃のような以前の脅威を上回ります。
許可なしに、AIに生成された映像がテレビに表示されたインシデントによって証明されるように、妥協したデバイスを操作して不正なコンテンツをブロードキャストすることができます。
2025年2月現在、ブラジルは感染症のほぼ25%を占めており、それに続いて南アフリカ(13.6%)、インドネシア(10.5%)、アルゼンチン(5.3%)、タイ(3.4%)、および中国(3.1%)が続きます。
このような脅威から保護するために、Android TVおよびセットトップボックスユーザーは、デバイスが最新のソフトウェアを実行することを保証し、信頼できるソースからアプリケーションをダウンロードしてマルウェア感染のリスクを最小限に抑え、デフォルトのユニークなパスワードを最小限に抑え、デバイスのセキュリティを強化し、異常なデータパターンを導くためのネットワークアクティビティを維持するなどの予防策を講じることができます。