Tu televisor forma parte de una botnet: este malware ha infectado 1,5 millones de Android TV en 226 países

Una botnet es una red formada por una serie de dispositivos controlados de forma remota por ciberdelincuentes para realizar actividades maliciosas como enviar spam o lanzar ataques de denegación de servicio. Habitualmente, se trata de ordenadores y smartphones infectados con malware, pero en realidad cualquier dispositivo que se conecte a Internet puede ser usado como parte de una botnet; entre ellos, los televisores.

Una investigación de Xlab informa de que una nueva variante de la botnet de malware Vo1d ha infectado 1.590.299 dispositivos Android TV en 226 países, 'reclutándolos' como parte de redes de servidores proxy anónimos. Se trata de una campaña en activo desde el pasado noviembre que alcanzó su punto máximo el 14 de enero y, un mes y medio después, cuenta con 800.000 bots activos. Esta categoría de dispositivos Android TV incluye, además de televisores, reproductores multimedia, decodificadores y barras de sonido.

Ya en septiembre de 2024, investigadores de Dr. Web, la compañía detrás del antivirus del mismo nombre, descubrieron que 1,3 millones de dispositivos habían sido comprometidos por el malware Vo1d a través de un vector de infección desconocido. En este caso, la botnet abarcaba 200 países.

El informe posterior de XLab indica que una nueva versión de la botnet Vo1d está operando a gran escala, sin verse afectada por la exposición previa. Además, los investigadores destacan que ha sido mejorada con cifrado avanzado (RSA + XXTEA personalizado), una infraestructura resiliente basada en algoritmos de generación de dominios (DGA) y mayores capacidades de sigilo. Se trata de una de las botnets más grandes observadas en los últimos años, superando a Bigpanzi, a la que se asociaron en 2023 1,3 millones de direcciones IP únicas.

Actualmente, casi el 25 % de las infecciones afectan a usuarios de Brasil, país al que sigue Sudáfrica (13,6 %), Indonesia (10,5 %), Argentina (5,3 %), Tailandia (3,4 %) y China (3,1 %). El informe solo especifica los 15 países más afectados, entre los que no se encuentra España. Cierra la lista Ecuador, con un 1,04 %.

Los investigadores también destacan los picos repentinos en las infecciones, como el aumento de 3.900 a 217.000 bots en India en solo tres días. Estas fluctuaciones sugieren que los operadores de la botnet podrían estar alquilando dispositivos como servidores proxy, una práctica común en este tipo de actividades ilegales.

Así es la botnet Vo1d que controla televisores con Android TV

La botnet Vo1d es una red creada por ciberdelincuentes que convierte los dispositivos comprometidos en servidores proxy para facilitar operaciones ilegales.

Los dispositivos infectados generan tráfico malicioso para los ciberdelincuentes, ocultando el origen de su actividad y mezclándose con el tráfico legítimo de redes residenciales. Esto también les ayuda a evadir restricciones regionales, filtrados de seguridad y otras protecciones.

Otra función de Vo1d es el fraude publicitario. Puede falsificar interacciones de usuario, simulando clics en anuncios y visionados en plataformas de vídeo para generar ingresos a anunciantes fraudulentos. El malware tiene complementos específicos que automatizan las interacciones con anuncios y simulan un comportamiento de navegación similar al humano, explica XLab.