С конца прошлого года на ботнет Vo1d, который состоит из телеприставок на Android, выпустили обновление, которое добавляет новый способ связи с сервером управления. Количество вредоносных устройств в сети увеличилось: в QiAnXin заметили до 1,6 миллиона активных ботов ежедневно.
Специалисты из Китая отметили несколько нововведений, включая алгоритм расшифровки данных, улучшенный генератор доменных имен и использование дополнительного вредоносного кода. Они обнаружили новую версию зловреда Vo1d, который изначально был ошибочно принят за Bigpanzi из-за схожего метода шифрования информации.
Обновленный зловред теперь использует сервер-редиректор для связи с C2, а не генератор доменных имен. Количество возможных доменов увеличено до 32. Коммуникации теперь шифруются по RSA, что делает невозможным подмену сервера для отправки команд ботам.
В январе была расшифрована команда на загрузку нового компонента с именем DexLoader, который включает в себя Android-зловред Mzmess. Этот зловред состоит из трех частей: entry загружает sdk, который в свою очередь загружает плагины и обновляет свой код, и plugin, который обеспечивает проксирование трафика и накручивает просмотры рекламы или видео.
Количество активных ботов в сети варьируется, но в среднем составляет около 800 тысяч в день. В некоторые периоды количество ботов резко возрастает. Заражения обнаружены в 226 странах, преимущественно в Бразилии, Индии и Южно-Африканской Республике. Как именно зловред попадает на телеприставки, пока неизвестно.
© KiberSec.ru – 02.04.2025, обновлено 02.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
