Botnetz "Vo1d" weiterhin auf Hunderttausenden Android-TV-Geräten aktiv
Das 2024 entdeckte Botnetz Vo1d ist immer noch aktiv. Eine neue Version wurde nun von Sicherheitsforschern auseinandergenommen.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Von Ende 2024 bis jetzt hat sich das von Security-Experten "Vo1d" genannte Botnetz nach neuesten Analysen weiter ausgebreitet. Sicherheitsforscher des Unternehmens Xlab beobachteten in der Spitze rund 1,6 Millionen aktive Geräte, die mit inoffiziellen Versionen von Android TV arbeiteten und bei Vo1d eingebunden waren.
Wie die Forscher in einem ausführlichen Blogbeitrag schreiben, kam dabei eine neue Variante der Malware zum Einsatz. Sie wurde zuerst Ende November 2024 in einer ausführbaren Datei mit dem Namen "jddx" entdeckt. Anhand von technischen Ähnlichkeiten mit dem 2024 beobachteten Vo1d ordneten die Analysten die Software dieser Malware-Familie zu. Daraus ist zu schließen – auch wenn Xlab das nicht ausdrücklich sagt – dass auch der neue Stamm von Vo1d wohl nur Geräte mit einem Android aus dem Open-Source-Zweig AOSP angreift.
Nur auf inoffiziellen AOSP-Geräten
Auch im vergangenen Jahr hatte Google nach der Entdeckung der Malware klargestellt, dass sie nicht auf mit Play-Protect geschützten Geräten wie etwa Fernsehern läuft, die mit "Android TV" vermarktet werden. Vielmehr, so Google, soll Vo1d ausschließlich auf Set-Top-Boxen aktiv sein, auf denen eine modifizierte Version von AOSP als vermeintliches Android TV nachgebildet wurde. Solche Geräte sind, im Gegensatz zu offiziellen Android-TV-Geräten, von zahlreichen Versendern für einen Bruchteil der Preise von Originalgeräten zu haben. Auch Xlab weist jetzt darauf hin, dass die Verbreitung von Vo1d schon in der Lieferkette begonnen haben könnte.
Dabei, so die Sicherheitsforscher, könnten schon die Hersteller mit Malware-Banden zusammengearbeitet haben, um die Schadsoftware quasi ab Werk auf den Boxen unterzubringen. Ein weiterer Verbreitungsweg, so Xlab, könnte von Nutzern installierte Software für zweifelhafte Streaming-Angebote sein. Bei diesen in der Regel illegalen Diensten kann man sich laut Xlab leicht auch andere Malware einhandeln. Darüber hinaus ist ein anderer möglicher Infektionsweg für Vo1d weiterhin unklar.
Videos by heise
Proxy, Fake-Traffic und Klickbetrug
Im Zeitraum der Beobachtung des neuen Vo1d registrierten die Forscher in der Spitze im Januar 2025 knapp 1,6 Millionen Geräte. Diese Zahl fiel dann auf rund 800.000 aktive Installationen. Xlab führt das darauf zurück, dass die Betreiber des Botnetzes die gekaperten Geräte an andere Banden verkauft haben könnten – in der Malware-Branche ein übliches Vorgehen. Laut Xlab ist einer der Dienste, welche die Vo1d-Betreiber selbst anbieten, ein schwer zu durchschauendes Proxy-Netzwerk. Auch betrügerische Werbung und gefakter Traffic, wiederum auf Werbung, sei Teil des Geschäftsmodells, ebenso Klickbetrug.
Der Blogbeitrag von Xlab listet zahlreiche technische Eigenschaften von Vo1d auf, darunter bessere VerschlĂĽsselung als in den ersten Versionen und erweiterter Schutz vor Entdeckung. Dazu kommt eine umfangreiche Online-Infrastruktur mit Dutzenden von Domains und Command-and-Control-Servern. Es scheint, als stecke hinter Vo1d eine professionell agierende Cybercrime-Organisation.
17.000 Geräte in Deutschland
In den ersten beiden Wochen des Februar analysierte Xlab auch die regionale Verbreitung von Vo1d. Allgemein finden sich die aktiven Geräte überwiegend im globalen Süden der Welt, fast ein Viertel davon in Brasilien. Darauf folgen Südafrika mit 13,6 Prozent und Indonesien mit 10,54 Prozent. Danach gibt es nur noch einstellige Prozentanteile, Geräte in Deutschland sollen 2,17 Prozent ausmachen. Ausgehend von 800.000 aktiven Vo1d-Geräten insgesamt wären das hierzulande immer noch über 17.000 Maschinen, was durchaus schon für DDoS-Attacken auf mittelgroße Ziele wie Unternehmen ausreichen würde. Die Gefahr von Botnetzen bei vermeintlich unproblematischen Geräten wie Set-Top-Boxen scheint also weiterhin zuzunehmen.
(nie)
