Uma perigosa variante da botnet Vo1d está se espalhando rapidamente pelo mundo, infectando dispositivos de televisão conectados à internet e transformando-os em servidores proxy para atividades criminosas. Segundo um relatório de uma empresa de cibersegurança, a campanha maliciosa já comprometeu mais de 1,6 milhão de aparelhos em 226 países, com o Brasil liderando o ranking de infecções.

Dispositivos de televisão conectados à internet são smart TVs e set-top boxes que rodam um sistema operacional, permitindo a instalação de aplicativos e o acesso a serviços de streaming. Por serem conectados à internet e muitas vezes negligenciados em termos de segurança, esses aparelhos se tornaram alvos fáceis para cibercriminosos.

O “novo Vo1d” é uma evolução significativa em relação às versões anteriores, com criptografia avançada, infraestrutura resiliente baseada em algoritmos de geração de domínios (DGA) e capacidades aprimoradas de evasão de detecção. Isso permitiu que a botnet crescesse rapidamente, atingindo seu pico em 14 de janeiro de 2025 com 1.590.299 dispositivos infectados.

Vo1d, um dos malwares mais letais da atualidade

O Vo1d se estabeleceu como um dos malwares mais perigosos dos últimos anos por diversos motivos. Primeiramente, sua escala é impressionante — com mais de 1,6 milhão de dispositivos infectados, ele supera botnets notórias como a Bigpanzi e a Mirai original.

Além do tamanho, o Vo1d se destaca pela sofisticação técnica. A nova variante implementa criptografia RSA e um algoritmo XXTEA customizado, tornando extremamente difícil a interceptação ou manipulação das comunicações entre os dispositivos infectados e os servidores de comando e controle (C2).

O malware tem capacidade de infecção silenciosa, permanecendo despercebido nos dispositivos por longos períodos. Isso se deve às suas avançadas técnicas de evasão de detecção, que o tornam praticamente invisível para as soluções de segurança.

Outro aspecto particularmente preocupante é a versatilidade do Vo1d. Além de criar uma vasta rede de proxies anônimos, o malware pode ser usado para fraudes publicitárias, ataques DDoS e até disseminação de conteúdo não-autorizado.

Dispositivos infectados chegam a 1,6 milhão

De acordo com o relatório, a infecção dos dispositivos de televisão conectados à internet ocorre por meio de um downloader chamado jddx, que utiliza o algoritmo de criptografia Bigpanzi para ofuscar strings sensíveis. Uma vez instalado, o jddx baixa um payload criptografado contendo o componente principal do Vo1d.

O malware então estabelece comunicação com servidores C2 “redirecionadores”, que fornecem os endereços dos C2 reais. Toda essa comunicação é protegida por criptografia RSA, impedindo a interceptação ou manipulação por terceiros.

Uma vez totalmente instalado, o Vo1d transforma o dispositivo infectado em um nó de uma vasta rede de servidores proxy anônimos. Esses proxies podem ser utilizados para relay de tráfego malicioso, contornar restrições geográficas e filtros de segurança.

Brasil é o país mais afetado

O Brasil é, de longe, o país mais impactado pela nova campanha do Vo1d, concentrando cerca de 25% de todas as infecções. Em seguida vêm África do Sul, Indonésia, Argentina, Tailândia e China.

Essa alta taxa de infecção em nosso país pode ser explicada por diversos fatores. Primeiramente, por aqui há uma grande base instalada de dispositivos de televisão conectados à internet, muitos deles desatualizados e vulneráveis. Além disso, há uma cultura disseminada de baixar aplicativos e firmwares não-oficiais para desbloquear funcionalidades, o que abre brechas para a instalação do malware.

O que fazer para se proteger?

Diante da ameaça representada pelo Vo1d, é fundamental que usuários de dispositivos de televisão conectados à internet adotem medidas preventivas. A primeira e mais importante é manter o firmware e os aplicativos sempre atualizados, instalando as atualizações de segurança assim que disponíveis.

Outra recomendação crucial é evitar o download de aplicativos fora da loja oficial. Muitos usuários são tentados a instalar APKs de fontes duvidosas para ter acesso a conteúdo premium gratuitamente, mas isso abre portas para infecções das mais diversas naturezas.

É importante também desabilitar recursos de acesso remoto quando eles não estiverem em uso. Muitos dispositivos de televisão conectados à internet vêm com essas funcionalidades ativadas por padrão, o que pode ser explorado por atacantes.