1. Quy mô lây nhiễm: Botnet Vo1d đã phát triển tới 1.590.299 thiết bị TV Android bị nhiễm trên 226 quốc gia, với đỉnh điểm là 1,6 triệu thiết bị hoạt động vào tháng 1 năm 2025.
2. Phân bố địa lý: Botnet chủ yếu tồn tại ở miền Nam toàn cầu, trong đó Brazil chiếm gần 25% số ca nhiễm, tiếp theo là Nam Phi (13,6%), Indonesia (10,5%) và Argentina (5,3%).
3. Khả năng hoạt động: Botnet Vo1d được sử dụng cho nhiều hoạt động độc hại khác nhau, bao gồm:
- Dịch vụ proxy: Botnet biến các thiết bị bị xâm phạm thành các máy chủ proxy để thực hiện các hoạt động bất hợp pháp, che giấu nguồn gốc của lưu lượng độc hại và vượt qua các hạn chế khu vực.
- Gian lận quảng cáo: Malware mô phỏng tương tác của người dùng để tạo ra doanh thu cho các nhà quảng cáo gian lận thông qua các cú nhấp chuột và lượt xem quảng cáo.
- Ẩn danh và bền bỉ: Botnet sử dụng mã hóa tiên tiến (RSA + XXTEA tùy chỉnh) và cơ sở hạ tầng DGA để trốn tránh sự phát hiện.
4. Cơ chế cho thuê: Các nhà điều hành botnet có thể đang “thuê” các thiết bị làm máy chủ proxy cho các nhóm khác, dẫn đến sự gia tăng và giảm đột ngột trong số lượng nhiễm bệnh ở các khu vực cụ thể.
5. Tính năng kỹ thuật: Botnet sử dụng một downloader độc đáo với mã hóa XXTEA và khóa được bảo vệ bằng RSA, và hoạt động với một số lượng lớn miền C2 được tạo ra từ các hạt giống DGA.
6. Khuyến nghị bảo mật: Để giảm thiểu mối đe dọa, người dùng được khuyến nghị mua thiết bị từ các nhà cung cấp uy tín, cài đặt các bản cập nhật phần mềm và bảo mật, tránh tải xuống ứng dụng ngoài Google Play, và vô hiệu hóa các tính năng truy cập từ xa nếu không cần thiết.
