شهدت برمجية Vo1d الخبيثة طفرة جديدة، حيث وصل عدد أجهزة Android TV المصابة بها إلى 1,590,299 جهازًا في 226 دولة حول العالم، مما يجعلها جزءًا من شبكات خوادم بروكسي مجهولة.
وفقًا لتقرير صادر عن شركة XLab، التي تتابع الحملة الجديدة منذ نوفمبر الماضي، بلغت ذروة انتشار البرمجية في 14 يناير 2025، حيث يوجد حاليًا حوالي 800,000 جهاز نشط ضمن الشبكة.
في سبتمبر 2024، اكتشف باحثو Dr. Web للأمن السيبراني أن البرمجية أصابت 1.3 مليون جهاز في 200 دولة عبر طريقة إصابة غير معروفة.
تحسينات متقدمة في برمجية Vo1d
أفاد تقرير XLab الأخير بأن النسخة الجديدة من البرمجية واصلت نشاطها على نطاق أوسع، دون تأثر كبير بالكشف السابق عنها.
وأشار الباحثون إلى أن البرمجية تطورت لتشمل تقنيات تشفير متقدمة (RSA + XXTEA مخصصة)، وبنية تحتية قوية تعتمد على خوارزمية DGA، بالإضافة إلى تعزيز قدرات التخفي.
شبكة Botnet ضخمة وانتشار عالمي
تُعد شبكة Vo1d واحدة من أكبر الشبكات الخبيثة في السنوات الأخيرة، متجاوزةً شبكات شهيرة مثل Bigpanzi وشبكة Mirai الأصلية، بالإضافة إلى الشبكة المسؤولة عن هجوم DDoS قياسي بلغ 5.6 تيرابت في الثانية والذي تصدت له Cloudflare العام الماضي.
اعتبارًا من فبراير 2025، تستهدف البرمجية بشكل رئيسي المستخدمين في البرازيل (25%)، تليها جنوب إفريقيا (13.6%)، إندونيسيا (10.5%)، الأرجنتين (5.3%)، تايلاند (3.4%)، والصين (3.1%).
كما شهدت الهند زيادة هائلة في عدد الأجهزة المصابة، حيث ارتفع العدد من 3,900 إلى 217,000 جهاز خلال ثلاثة أيام فقط.
تأجير الأجهزة المصابة لأغراض إجرامية
يشير التقرير إلى أن تقلبات عدد الأجهزة المصابة قد تكون ناتجة عن “تأجير” مشغلي البرمجية للأجهزة كخوادم بروكسي لتنفيذ أنشطة غير قانونية.
آلية التأجير وإعادة التشغيل:
- مرحلة التأجير: يتم تحويل الأجهزة المصابة إلى شبكات أخرى تابعة لمجموعات إجرامية، مما يؤدي إلى انخفاض مؤقت في عدد الأجهزة المتصلة بشبكة Vo1d.
- مرحلة العودة: بعد انتهاء فترة التأجير، تعود الأجهزة إلى شبكة Vo1d، مما يؤدي إلى ارتفاع مفاجئ في عدد الإصابات المسجلة.
بنية تحتية متقدمة للتحكم والسيطرة
تمتلك Vo1d شبكة تحكم واسعة، حيث تستخدم 32 مفتاحًا لخوارزمية DGA لإنشاء أكثر من 21,000 نطاق خاص بخوادم التحكم والسيطرة (C2).
كما أن الاتصال مع خوادم C2 مشفر بمفتاح RSA بطول 2048 بت، مما يجعل من المستحيل على الباحثين الأمنيين اختراق أو التحكم في الأجهزة المصابة حتى لو تمكنوا من تسجيل أحد نطاقات C2.
قدرات Vo1d وتأثيراتها
تُستخدم شبكة Vo1d botnet لأغراض إجرامية متعددة، حيث يتم تحويل الأجهزة المصابة إلى خوادم بروكسي تُستخدم لإخفاء الأنشطة المشبوهة.
أبرز الوظائف الخبيثة:
- إخفاء الأنشطة غير القانونية: يتم استخدام الأجهزة المصابة لنقل البيانات المشبوهة عبر الشبكات المنزلية، مما يساعد المهاجمين في تجاوز القيود الأمنية والتصفية الجغرافية.
- الاحتيال الإعلاني: تستغل البرمجية الأجهزة المصابة لتنفيذ نقرات مزيفة على الإعلانات وزيادة مشاهدات الفيديوهات لتحقيق أرباح غير مشروعة.
- محاكاة السلوك البشري: تستخدم البرمجية إضافات مخصصة لمحاكاة تصفح الإنترنت والتفاعل مع الإعلانات بطريقة تبدو طبيعية.
كيفية الحماية من تهديد Vo1d
نظرًا لعدم وضوح آلية انتشار البرمجية حتى الآن، يُنصح مستخدمو أجهزة Android TV باتباع تدابير أمنية صارمة:
- شراء الأجهزة من مصادر موثوقة: تجنب شراء أجهزة غير معروفة المصدر، حيث قد تحتوي على البرمجيات الخبيثة مسبقًا.
- تحديث النظام بانتظام: تثبيت التحديثات الأمنية فور توفرها لسد الثغرات التي قد يتم استغلالها للإصابة.
- تجنب التطبيقات غير الرسمية: عدم تحميل التطبيقات من خارج متجر Google Play أو استخدام أنظمة تشغيل معدلة.
- تعطيل الوصول عن بُعد: إيقاف ميزات الوصول عن بُعد في أجهزة Android TV عند عدم الحاجة إليها.
- عزل الأجهزة الذكية: إبقاء أجهزة IoT منفصلة عن الأجهزة التي تحتوي على بيانات حساسة داخل الشبكة المنزلية.
تعليق رسمي من Google
في تحديث بتاريخ 1 مارس، صرّح متحدث باسم Google لموقع BleepingComputer:
“الأجهزة التي تم اكتشاف إصابتها ليست معتمدة من Play Protect. إذا لم يكن الجهاز معتمدًا من Play Protect، فإن Google لا تحتفظ بسجلات لاختبارات الأمان والتوافق الخاصة به. تخضع أجهزة Android TV المعتمدة من Play Protect لاختبارات صارمة لضمان الجودة والأمان للمستخدمين. للتحقق مما إذا كان جهازك معتمدًا من Play Protect، يُمكنك زيارة موقع Android TV الرسمي لمراجعة قائمة الشركاء المعتمدين.”
