Update Vo1d botnet

Afgelopen weekend was bij verschillende online publicaties een update over Vo1d te lezen. Dat is het botnet dat uitsluitend van Android tv boxen gebruik maakt. Omdat ITchannelPRO het verschijnsel eerder heeft aangestipt volgt ook hier een update.

Waar gaat het om?

Volgens deze onderzoekers is het Vo1d botnet nog steeds actief. In januari ging het om 1,5 miljoen devices. Na de eerste publicaties en ingrijpen door service providers viel dat aantal terug. Eind vorige maand waren 800.000 devices als actieve installaties traceerbaar. Voor een botnet is dat nog steeds een enorm groot aantal deivces.

Wat doet Vo1d?

Een botnet veroorzaakt meer dan een soort overlast. DDoS aanvallen behoren evenzo tot de mogelijkheden als het zelf verder verspreiden van malware naar andere soorten devices. Klikfraude bestaat bij de gratie van dit soort botnets. In dit geval kan het ook ingezet worden om data binnen huisnetwerken te ontvreemden.

Wie beheert Vo1d?

De meeste onderzoekers gaan er van uit dat Vo1d tot nu toe niet door de eigenaren wordt gebruikt. Het enige dat die doen is de capaciteit verhuren aan andere cybercriminelen. Waarom is Vo1d zichtbaar? Het is onderzoeker eerder gelukt een deel van de achterliggende infra (zoals de C&C servers) te traceren en over te nemen. Hierdoor kan men ook het spoor volgen van nieuwe variaties in de besmettingen en nieuwe infrastructuur.

Wie verspreid Vo1d?

Dit botnet bestaat bij de gratie van miljoenen goedkope Android TV boxen met een versie van het open OS dat zowel verouderd als gemanipuleerd is. Updates zijn er niet, want er is geen toegang tot de officiële play store omgeving. De keuze van de cybercriminelen voor goedkope machines is geen toeval. Het verklaart waarom in landen met een lagere koopkracht het aantal besmette IP adressen zo hoog is. Dit soort boxen wordt echter ook nog steeds in Nederland aangeboden. Deels via de legale en bekende online marktplaatsen. De suggestie is ook wel gedaan dat dit soort devices gebundeld wordt met illegaal IP-tv aanbod. Die worden vooral via social media gepusht en onder de toonbank verkocht.

Ook in Nederland?

Ja, Vo1d is ook traceerbaar in Nederland – details van de manier van besmetten en verkeersstromen van dit botnet zijn in het eerder gelinkte blog te vinden.