一种名为 Vo1d 的恶意软件僵尸网络的新变种，已感染了来自 226 个国家的 1590299 台 Android TV设备，并将这些设备纳入其匿名代理服务器网络中。

这是根据 Xlab 的一项调查得出的结论。Xlab 自去年 11 月以来一直在追踪这一新的攻击活动，并报告称该僵尸网络在 2025 年 1 月 14 日达到峰值，目前拥有 80 万个活跃僵尸程序。

2024 年 9 月，Dr. Web的反病毒研究人员发现，有来自 200 个国家的 130 万台设备通过未知的感染途径被 Vo1d 恶意软件入侵。

XLab 最近的报告显示，Vo1d 僵尸网络的新版本仍在大规模运行，并未因之前被曝光而有所收敛。

此外，研究人员强调，该僵尸网络已进行了升级，采用了先进的加密技术（RSA + 自定义 XXTEA）、具备强大恢复能力的基于域名生成算法（DGA）的基础设施，以及增强的隐蔽能力。

Vo1d 僵尸网络规模随时间
的变化来源：XLab

庞大的僵尸网络规模

Vo1d 僵尸网络是近年来出现的最大规模的僵尸网络之一，超过了Bigpanzi、最初的 Mirai僵尸网络，以及去年引发了由 Cloudflare 处理的创纪录的 5.6 Tbps DDoS 攻击的僵尸网络。

截至 2025 年 2 月，近 25% 的受感染设备来自巴西用户，其次是南非（13.6%）、印度尼西亚（10.5%）、阿根廷（5.3%）、泰国（3.4%）和中国（3.1%）的设备。

研究人员报告称，该僵尸网络的感染数量出现过显著激增，例如在印度，短短三天内僵尸程序数量就从 3900 个增加到了 21.7 万个。

最大幅度的波动表明，僵尸网络的操控者可能在 “出租” 这些设备作为代理服务器，而这些代理服务器通常被用于实施进一步的非法活动或自动化攻击。

“我们推测，‘快速激增后又急剧下降’这一现象可能是由于 Vo1d 将其在特定地区的僵尸网络基础设施出租给了其他团伙。以下是这种‘租赁 – 归还’循环的可能运作方式：

租赁阶段：

在租赁开始时，僵尸程序会从 Vo1d 的主网络中被转移出来，为承租人的活动服务。这种转移导致 Vo1d 的感染数量突然下降，因为这些僵尸程序暂时从其活跃设备池中被移除。

归还阶段：

一旦租赁期结束，这些僵尸程序会重新加入 Vo1d 网络。随着这些僵尸程序重新在 Vo1d 的控制下变得活跃，感染数量会迅速激增。

这种 “租赁和归还” 的循环机制可以解释在特定时间点观察到的 Vo1d 规模的波动情况。”

其命令与控制（C2）基础设施的规模也令人印象深刻，该僵尸网络使用了 32 个域名生成算法（DGA）种子，生成了超过 2.1 万个 C2 域名。

C2 通信由一个 2048 位的 RSA 密钥保护，因此即使研究人员识别并注册了一个 C2 域名，他们也无法向僵尸程序发出命令。

截至 2 月 25 日受影响最大的国家来源：XLab

Vo1d 的功能

Vo1d 僵尸网络是一种多功能的网络犯罪工具，它将受感染的设备转变为代理服务器，以协助实施非法活动。

受感染的设备会为网络犯罪分子中继恶意流量，隐藏他们活动的来源，并混入住宅网络流量中。这也有助于威胁行为者绕过地区限制、安全过滤和其他防护措施。

Vo1d 的另一个功能是广告欺诈，它通过模拟点击广告或在视频平台上的观看行为来伪造用户交互，从而为欺诈性广告商创造收入。

该恶意软件有特定的插件，可以自动进行广告交互并模拟类似人类的浏览行为，此外还有 Mzmess SDK，它会将欺诈任务分发给不同的僵尸程序。

鉴于感染途径仍然未知，建议Android TV用户采取全面的安全措施来应对 Vo1d 威胁。

第一步是从信誉良好的供应商和值得信赖的经销商处购买设备，以尽量减少恶意软件在出厂时或运输过程中被预装的可能性。

其次，安装固件和安全更新至关重要，这些更新可以填补可能被用于远程感染的漏洞。

第三，用户应避免从谷歌应用商店之外下载应用程序，或安装那些承诺提供扩展功能和 “解锁” 功能的第三方固件镜像。

如果不需要，Android TV设备应禁用其远程访问功能，并且在不使用时将其离线也是一种有效的策略。

最终，物联网设备应在网络层面与存储敏感数据的重要设备隔离开来。