Ameaça digital

Botnet Vo1d infecta 1,6 milhão de Android TVs globalmente

A botnet Vo1d atingiu 1,6 milhão de dispositivos Android TV em 226 países, transformando-os em servidores proxy anônimos. Pesquisadores alertam para criptografia avançada, infraestrutura resiliente e um modelo de "aluguel" de bots para atividades ilegais.

28/02/2025 07:30

A botnet de malware Vo1d continua sua rápida expansão, infectando aproximadamente 1,6 milhão de dispositivos Android TV em 226 países. Segundo uma investigação do XLab, a operação cresceu significativamente desde novembro de 2024, atingindo seu pico em janeiro de 2025, com 800.000 bots ativos.

Botnet Vo1d expande alcance e infecta Android TVs globalmente

Tamanho do botnet Vo1d ao longo do tempo Imagem: XLab

O Vo1d foi inicialmente identificado em setembro de 2024 por especialistas do Dr. Web, que encontraram 1,3 milhão de dispositivos comprometidos, embora o vetor de infecção permaneça desconhecido.

A nova versão do Vo1d incorpora técnicas sofisticadas para evitar detecção e neutralização. A botnet se apoia em criptografia robusta (RSA + XXTEA personalizada), um algoritmo de geração de domínio (DGA) para criar mais de 21.000 domínios de comando e controle (C2) e uma chave RSA de 2048 bits para proteção de comunicação.

Esses aprimoramentos garantem que mesmo que pesquisadores consigam identificar um domínio C2, não poderão controlá-lo para desativar a rede de bots.

Crescimento acelerado e principais países afetados

O Brasil é o país mais impactado pela botnet Vo1d, representando 25% das infecções globais. Outros países fortemente atingidos incluem:

África do Sul: 13,6%
Indonésia: 10,5%
Argentina: 5,3%
Tailândia: 3,4%
China: 3,1%

Em algumas regiões, como a Índia, o crescimento foi explosivo, saltando de 3.900 para 217.000 dispositivos infectados em apenas três dias.

Modelo de “aluguel e devolução” de bots

Pesquisadores acreditam que operadores do Vo1d “alugam” partes da botnet para terceiros. Esse processo pode explicar flutuações bruscas no número de bots ativos. O ciclo se divide em duas fases:

Fase de locação: Bots são desviados da rede principal e utilizados por terceiros para atividades ilícitas, reduzindo temporariamente a contagem total de infecções.
Fase de retorno: Após o término da locação, os bots são reintegrados à botnet Vo1d, provocando picos de infecção.

Esse método permite que o Vo1d continue lucrando enquanto mantém sua rede de dispositivos ativa e disponível para diferentes operações cibercriminosas.

Principais funcionalidades e riscos da botnet

A botnet Vo1d transforma dispositivos Android TV infectados em servidores proxy anônimos, mascarando a origem de atividades ilegais e permitindo:

Fraudes publicitárias: Geração de cliques falsos e visualizações artificiais para inflacionar métricas de anúncios e vídeos.
Evasão de restrições: Uso de proxies para contornar bloqueios regionais e filtragem de segurança.
Distribuição de malware: Possível expansão para comprometer ainda mais dispositivos IoT e redes residenciais.

Como proteger sua Android TV contra o Vo1d

Embora a forma exata de infecção do Vo1d permaneça incerta, algumas práticas podem reduzir os riscos:

Compre dispositivos de fontes confiáveis para evitar malware pré-instalado.
Mantenha o firmware atualizado para fechar brechas de segurança.
Evite baixar apps de fontes externas fora da Google Play Store.
Desative o acesso remoto caso não seja essencial para o uso.
Isole dispositivos IoT da rede principal para evitar comprometimentos mais amplos.

Seguir essas recomendações pode ajudar a reduzir a exposição ao Vo1d e outras ameaças cibernéticas emergentes.

Jardeson Márcio

Mais Notícias

Mais artigos

Cibersegurança alerta

Extensões maliciosas no VSCode Marketplace baixavam ransomware em testes

Duas extensões maliciosas do VSCode Marketplace foram descobertas distribuindo ransomware em estágio inicial, revelando falhas no processo de revisão da Microsoft. O ataque, que usava scripts do PowerShell para criptografar arquivos, permaneceu ativo por meses antes da remoção.

Dicas de segurança

Cheats no YouTube espalham malware Arcane Stealer para usuários russos

Vídeos de cheats para jogos no YouTube estão sendo usados para disseminar o malware Arcane Stealer, que rouba dados de contas, senhas e informações financeiras de usuários russos.

Logotipo do WordPress em tons de preto e cinza, sobre um fundo escuro com várias sombras do mesmo símbolo

Ameaça persistente

Campanha de malware DollyWay compromete 20 mil sites WordPress

Desde 2016, a campanha de malware DollyWay compromete sites WordPress globalmente, redirecionando visitantes para páginas maliciosas. Utilizando falhas de segurança, reinfecção e monetização via redes de afiliados, a operação persiste há anos.

Segurança digital

Hackers exploram vulnerabilidade crítica no PHP para distribuir Quasar RAT e XMRig

Cibercriminosos estão explorando uma falha grave no PHP para implantar mineradores de criptomoedas e trojans de acesso remoto, como o Quasar RAT. O ataque se concentra em diversos países, incluindo Brasil, Taiwan e Hong Kong.

Alerta de malware em tons vermelhos destacando um aviso de infecção, ilustrando a ameaça do vírus Perfctl em servidores Linux.

Cibersegurança ameaçada

ClearFake infecta milhares de sites e usa reCAPTCHA falso para espalhar malware

A campanha ClearFake tem utilizado reCAPTCHAs e Turnstiles falsos para enganar usuários e espalhar malwares como Lumma Stealer e Vidar Stealer. Com mais de 9.300 sites comprometidos, a ameaça continua a evoluir.

novo-malware-wograt-usa-servico-de-bloco-de-notas-online-para-armazenar-codigo-malicioso

Ameaça digital

Microsoft alerta sobre novo malware RAT que rouba criptomoedas e dados sensíveis

A Microsoft identificou um novo malware RAT, chamado StilachiRAT, que utiliza técnicas sofisticadas para roubo de dados e persistência no sistema. O malware visa carteiras digitais, credenciais salvas e sistemas RDP. A empresa recomenda medidas para mitigar a ameaça.