Vo1d Botnet's Peak Surpasses 1.59M Infected Android TVs, Spanning 226 Countries
Enhanced capabilities sustain the rapid growth of Vo1d botnet
Enhanced capabilities sustain the rapid growth of Vo1d botnet
Operators behind the Vo1d botnet have enhanced its capabilities, enabling rapid growth in recent months.
securityaffairs.com
- Vo1d 봇넷 개요
- Vo1d 봇넷은 Android 기반 TV 박스를 감염시키는 악성코드로, 전 세계 226개국 이상에 확산됨
- 감염된 Android TV 박스 159만 대 이상을 조종하며, 하루 평균 80만 개의 활성 IP 주소에서 활동
- RSA 및 XXTEA 암호화를 적용하여 C2(Command and Control) 서버의 탈취를 방지하고 탐지를 어렵게 만듦
- 리디렉터 C2(Redirector C2) 및 DGA(Domain Generation Algorithm) 기반 도메인을 활용하여 네트워크 구조를 확장
- Vo1d 봇넷의 목표는 프록시 네트워크 구축 및 광고 클릭 사기(Click Fraud) 수행
- 감염 경로 및 주요 피해 지역
- 감염은 공급망 공격(Supply Chain Attack) 또는 비공식 펌웨어(Firmware) 사용 시 내장된 루트 접근 기능을 통해 이뤄질 가능성이 높음
- 감염 기기 중 24.97%가 브라질, 13%가 남아프리카, 10%가 인도네시아, 5%가 아르헨티나에서 발견됨
- 2025년 2월 25일 기준, 인도에서 감염률이 급증하여 전체의 18.17% 차지
- Vo1d 봇넷의 주요 기능 및 기술적 특징
- 스텔스 및 방어 회피 기법
- RSA 암호화로 네트워크 통신 보호
- 각 페이로드마다 고유한 다운로드 매커니즘 사용
- XXTEA 암호화 및 RSA 키 보호를 통해 악성 코드 분석을 어렵게 만듦
- 감염 기기의 시스템 파일을 조작하여 탐지를 회피
- 악성 코드 구조 및 실행 방식
- 감염된 기기의 install-recovery.sh, daemonsu 파일을 변조
- 새로운 악성 파일 생성: vo1d, wd, debuggerd, debuggerd_real
- ELF 악성코드(파일명: s63)는 추가 페이로드를 다운로드 및 실행
- 해독된 패키지(ts01)에는 install.sh, cv, vo1d, x.apk 포함
- 설치 후 지속성 확보:
BOOT_COMPLETED이벤트를 감지하여 시스템 재부팅 후 자동 실행 - C2 서버와의 통신 후 추가 APK 다운로드 및 실행
- 프록시 네트워크 및 악성 광고 배포
- 감염된 기기를 프록시 서버로 전환하여 불법 트래픽 전송
- 광고 클릭 사기 및 트래픽 조작 기능 수행
- 추가 악성코드(Mzmess) 배포, 4가지 플러그인 포함
- Popa, Jaguar: 프록시 서비스 제공
- Lxhwdg: 목적 불명 (C2 서버 오프라인)
- Spirit: 광고 클릭 사기 및 트래픽 조작
- 스텔스 및 방어 회피 기법
- 추가 분석 및 위협 요소
- Google: 감염된 기기들이 공식 Google Play Protect 인증을 받지 않은 AOSP 기반 Android 기기라고 확인
- Kaspersky: 2024년 감염된 Android TV 셋톱 박스의 시스템 애플리케이션(com.google.android.services)에서 Vo1d(aka LinkDoor) 백도어 발견
- QiAnXin: Vo1d 봇넷이 기기 대여 모델을 통해 특정 지역에서 다른 범죄 조직에 임대되는 정황 포착
- 보안 권고
- 사용자 측면
- 공식적으로 인증된 Android TV 박스 및 정품 펌웨어 사용
- 알 수 없는 출처의 앱 및 펌웨어 다운로드 금지
- Android TV 및 IoT 기기에서 안티바이러스 소프트웨어 사용
- 수상한 트래픽 활동이 있는 경우 기기 초기화 및 보안 패치 확인
- 기업 및 보안 전문가 측면
- 네트워크에서 Vo1d 관련 IoC(Indicators of Compromise) 확인 및 차단
- Vo1d 및 관련 C2 도메인 차단
- Android TV 박스 및 IoT 기기 대상 보안 업데이트 적용 여부 확인
- Vo1d 봇넷의 추가 확산 방지를 위한 법적 및 국제 협력 강화
- 사용자 측면
- 결론
- Vo1d 봇넷은 기존 Android 악성코드보다 더 은밀하고 정교한 방식으로 확장되고 있으며, 주요 목표는 프록시 네트워크 구축 및 불법 광고 트래픽 조작
- RSA 및 XXTEA 암호화를 통한 C2 서버 보호와 지속적인 기능 개선으로 탐지 및 차단이 어려워지고 있음
- 공급망 공격 가능성이 높은 만큼, 기기 제조업체 및 사용자는 보안 업데이트와 출처 확인이 필수적
- Vo1d 감염 기기는 단순한 프록시 역할을 넘어, 대규모 사이버 공격(DDoS, 데이터 탈취)에 활용될 가능성이 높아 강력한 대응이 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Microsoft, Azure AI 남용 사이버 범죄 조직 'LLMjacking' 공개 (0) | 2025.03.23 |
|---|---|
| Amnesty 보고서, Cellebrite의 제로데이 취약점 이용해 세르비아 활동가의 Android 폰 해제 (0) | 2025.03.23 |
| 개인정보 처리 통합 안내서 주요 내용 (0) | 2025.03.17 |
| 방화벽 정책관리 자동화 플랫폼 출시 및 주요 기능 (0) | 2025.03.17 |
| AI기본법과 한국의 AI 경쟁력 현황 (0) | 2025.03.17 |