Una nueva variante de la botnet Vo1d de malware ha crecido a 1,590,299 dispositivos Android TV infectados en 226 países, reclutando dispositivos como parte de redes de servidores proxy anónimos.
Investigación sobre Vo1d Botnet
Según una investigación de Xlab que ha estado rastreando la nueva campaña desde noviembre de 2024, la botnet alcanzó su punto máximo el 14 de enero de 2025 y actualmente cuenta con 800.000 bots activos.
En septiembre de 2024, los investigadores de Dr. Web encontraron 1.3 millones de dispositivos comprometidos por Vo1d a través de un vector de infección desconocido.
Evolución de la Botnet Vo1d
El informe reciente de XLab indica que la nueva versión de Vo1d sigue operando a una escala más grande, sin verse detenida por la exposición previa.
Además, los investigadores destacan que la botnet ha evolucionado con encriptación avanzada (RSA + XXTEA personalizada), infraestructura resistente impulsada por DGA (algoritmo de generación de dominios) y capacidades mejoradas de sigilo.
Tamaño de la Botnet Vo1d a lo largo del tiempo
La botnet Vo1d es una de las más grandes vistas en los últimos años, superando a Bigpanzi, la operación original de Mirai y a la botnet responsable del récord de un ataque DDoS de 5.6 Tbps manejado por Cloudflare el año pasado.
Impacto Global
A partir de febrero de 2025, casi el 25% de las infecciones afectan a usuarios de Brasil, seguidos por dispositivos en Sudáfrica (13.6%), Indonesia (10.5%), Argentina (5.3%), Tailandia (3.4%) y China (3.1%).
Los investigadores informan que la botnet ha tenido notables aumentos de infección, como el salto de 3,900 a 217,000 bots en India en solo tres días.
Fases del “Alquiler” de la Botnet
Las fluctuaciones más grandes sugieren que los operadores de la botnet podrían estar “alquilando” dispositivos como servidores proxy, utilizados comúnmente para realizar actividades ilegales o hacer botting.
Fase de alquiler:
En esta fase, los bots son desviados de la red principal de Vo1d para servir en las operaciones del arrendatario. Esto causa una caída repentina en el recuento de infecciones de Vo1d cuando los bots se eliminan temporalmente de su grupo activo.
Fase de regreso:
Una vez que finaliza el período de alquiler, los bots se reintegran a la red Vo1d. Esta reintegración lleva a un repunte rápido en el recuento de infecciones a medida que los bots se activan nuevamente bajo el control de Vo1d.
Capacidades de Vo1d
La botnet Vo1d es una herramienta cibercriminal multipropósito que convierte dispositivos comprometidos en servidores proxy para facilitar operaciones ilegales.
Los dispositivos infectados retransmiten tráfico malicioso para los ciberdelincuentes, ocultando el origen de su actividad y mezclándose con el tráfico de redes residenciales.
Esto también ayuda a los actores de amenazas a eludir restricciones regionales, filtros de seguridad y otras protecciones.
Otra función de Vo1d es el fraude publicitario, donde simula interacciones de usuarios como clics en anuncios o vistas en plataformas de video para generar ingresos para anunciantes fraudulentos.
Recomendaciones de Seguridad para Usuarios de Android TV
Dado que la cadena de infección sigue siendo desconocida, se recomienda que los usuarios de Android TV sigan un enfoque integral de seguridad para mitigar la amenaza de Vo1d.
Compra de dispositivos de vendedores confiables para minimizar la probabilidad de que el malware venga precargado de fábrica o durante el tránsito.
Instalar actualizaciones de firmware y seguridad que cierren las brechas de seguridad que podrían ser aprovechadas para infecciones remotas.
Evitar descargar aplicaciones fuera de Google Play o imágenes de firmware de terceros que prometan funcionalidades “extendidas” o “desbloqueadas”.
Desactivar las funciones de acceso remoto de los dispositivos Android TV si no son necesarias, y desconectarlos de la red cuando no se usen.
Finalmente, aislar los dispositivos IoT de aquellos que contengan datos sensibles dentro de la red.