概述

Vo1d 殭屍網路的新變種已感染全球 160 萬台 Android TV 裝置。 XLab 的網路威脅洞察和分析系統 (CTIA) 偵測到一個新的下載器正在傳遞新的 Vo1d Payload，標誌著 Vo1d 新活動的開始。殭屍網路目前用於獲利，但其對設備的控制可能導致大規模cyberattacks 或其他犯罪活動。

主要發現

• 規模與影響：Vo1d 控制著 200 多個國家的 160 多萬台設備。這比 2024 年 Cloudflare 攻擊（15,000 台裝置）或 2016 年 Mirai 殭屍網路中使用的殭屍網路要大得多。
• 未經授權的內容：被感染的電視可能會被利用來播放未經授權的內容，例如宣傳或惡意影片。
• 基礎設施：殭屍網路利用大型基礎設施，包括新樣本、重定向器(Redirector)、C2 Domain和 DGA Seed。
• 隱身和彈性：Vo1d 增強了加密、基礎設施和 payload 傳送優化，以提高其隱身和反檢測能力。
• 代理網絡：Vo1d 的一個核心目標是建立匿名代理服務，類似於 911S5 代理服務，該服務獲得了超過 9,900 萬美元的非法利潤。

技術分析

• 下載器 s63：下載器解密設定資訊並向下載伺服器請求Payload。它使用與Bigpanzi字串解密函數相同的解密邏輯。
• Payload ts01：解密後的payload是一個壓縮包，其中包含cv、install.sh、vo1d、x.apk。
  • install.sh：啟動 cv 元件。
  • cv 組件：清理舊的 Vo1d 組件、啟動 Vo1d 組件、安裝並啟動 x.apk 並報告設備狀態。
  • vo1d元件：使用 asr_xxtea 演算法解密Payload並將其載入到記憶體中。這張 payload 是Android.Vo1d5的升級版本，可以與C2 伺服器建立通信，並下載並執行原生函式庫(Native library)。
  • x.apk 元件：偽裝成 Google Play 服務並載入 liblogs.so 檔案。
  • asr_xxtea 演算法：Vo1d 使用 XXTEA 演算法的修改版本，以算術右移（ASR）取代邏輯右移（LSR）。
• DGA（網域產生演算法）：殭屍網路將DGASeed數量從4個增加到32個。

營運分析

• Mzmess：一個模組化的 Android 惡意軟體家族。它包含三個元件：
  • 入口：下載SDK。
  • SDK：管理更新和下載外掛程式。
  • 外掛：執行業務邏輯，例如代理服務或廣告詐欺。
• 外掛：殭屍網路使用popa、jaguar、lxhwdg、spirit等外掛程式進行代理服務、廣告推廣和流量膨脹。
• 命令追蹤系統：XLab 的命令追蹤系統捕獲並解密命令，揭示使用 DexLoaders 解密和執行 DEX 格式的Payload。
• Vo1d C2 基礎設施
  • C2 網域：ssl8rrs2.com、ttekf42.com、ttss442.com 等。
  • 下載器：ssl87362.com、wowokeys.com 和 IPs。
  • 報表產生器：works883.xyz、catmore88.com。
• 早期版本：
  • C2 網域：synntre.com 和 remoredo.com。
  • 核心 C2 IP：3.17.255.32。

結論

Vo1d 殭屍網路對全球網路安全構成了重大且不斷演變的威脅。目前，已有超過 160 萬台 Android TV 裝置受到感染，遍佈多個國家，其規模足以發動大規模網路攻擊和其他犯罪活動。Vo1d 殭屍網路的關鍵面向包括：

• 技術複雜性： 殭屍網路採用增強加密、改進的 XXTEA 演算法 (asr_xxtea) 和網域生成演算法 (DGA) 來提高其隱蔽性和彈性。
• 貨幣化：Vo1d 用於建立匿名代理網絡，類似於非法的 911S5 代理服務。該殭屍網路還透過其 Mzmess 模組化惡意軟體家族支援廣告詐欺和流量膨脹等活動。
• 營運策略： 殭屍網路呈現「租賃-歸還」週期，將其基礎設施租賃給其他團體，導致特定國家的感染率快速上升和下降。
• 根本原因：Vo1d 等殭屍網路的激增歸因於供應鏈漏洞（製造商預先安裝惡意元件）和危險的用戶行為，例如下載破解應用程式和非官方韌體。

Vo1d殭屍網路的龐大規模、持續進化和隱身能力凸顯了提高意識和採取主動措施打擊網路犯罪和維護全球網路安全的迫切需求。

參考資料