Một chiến dịch tấn công mạng nhắm vào các thiết bị Android TV đang diễn ra, với hơn 1,59 triệu thiết bị bị lây nhiễm trên 226 quốc gia. Các khu vực bị ảnh hưởng nặng nề nhất bao gồm Brazil, Nam Phi, Indonesia, Argentina và Thái Lan. Đặc biệt, tại Ấn Độ, số lượng thiết bị nhiễm mã độc đã tăng mạnh từ 3.901 lên hơn 217.000 chỉ trong hơn một tháng.
Mã độc này có tên Vo1d, một loại botnet có khả năng ẩn mình, né tránh phát hiện và sử dụng mã hóa RSA để bảo vệ liên lạc với máy chủ điều khiển (C2). Điều này giúp kẻ tấn công duy trì quyền kiểm soát ngay cả khi các nhà nghiên cứu an ninh mạng cố gắng chặn đứng hoạt động của nó. Mỗi thiết bị bị nhiễm có thể bị lợi dụng để thực hiện các hành vi gian lận như tạo lượt click ảo hoặc làm proxy cho tội phạm mạng.
Các chuyên gia nghi ngờ rằng Vo1d lây lan qua các thiết bị Android TV sử dụng firmware không chính thức hoặc bị cài mã độc từ khâu sản xuất. Google xác nhận rằng các thiết bị bị ảnh hưởng không phải là Android TV chính hãng có chứng nhận Play Protect, mà có thể sử dụng mã nguồn mở của Android (AOSP).
Botnet này hoạt động theo mô hình “cho thuê”, trong đó tội phạm mạng thuê lại botnet theo khu vực để thực hiện các hoạt động phi pháp. Sau thời gian thuê, các thiết bị sẽ quay trở lại mạng lưới Vo1d lớn hơn để tiếp tục bị khai thác.
Hiện tại, Vo1d được sử dụng chủ yếu để kiếm lợi nhuận, nhưng với khả năng kiểm soát thiết bị ở quy mô lớn, botnet này hoàn toàn có thể bị khai thác để thực hiện các cuộc tấn công mạng nguy hiểm hơn, bao gồm tấn công từ chối dịch vụ (DDoS) hoặc phát tán nội dung độc hại.
