Uma botnet chamada por especialistas em segurança de “Vo1d” continua a crescer desde o final de 2024, e já alcançou um pico de cerca de 1,6 milhão de dispositivos ativos, segundo pesquisadores de segurança da empresa Xlab. As análises feitas por eles indicam que cerca de 35% doso dispositivos contaminados são “TV boxes” com IP do Brasil. O malware que contamina os dispositivos e os integra na botnet ataca apenas os que usam um Android do branch AOSP, de open source. O Google já informou que o malware não roda em dispositivos protegidos com Play Protect, como televisores com “Android TV”. Segundo o Google, o Vo1d está exclusivamente em TV boxes com uma versão modificada do AOSP. O Xlab, agora, também aponta que a disseminação do Vo1d pode já ter começado na cadeia de suprimentos.
Leia também
TV boxes já espalham novo malware
TV Boxes: 28% no Brasil infectadas com backdoor
De acordo com os pesquisadores de segurança, os fabricantes dos dispositivos podem ter trabalhado em conjunto com as gangues de malware para instalar o malware. Outro canal de distribuição, de acordo com o Xlab, pode ser o software instalado por usuários para receber serviços de streaming piratas; outros malwares podem ser facilmente obtidos desses serviços ilegais.
Durante o período de observação do Vo1d, os pesquisadores registraram um pico que alcançou quase 1,6 milhão de dispositivos em janeiro de 2025. Esse número então caiu para cerca de 800.000 instalações ativas. O Xlab atribui isso ao fato de que os operadores da botnet terem vendido o acesso aos dispositivos para outras gangues – uma prática comum na indústria de malware. De acordo com o Xlab, um dos serviços oferecidos pelos próprios operadores do Vo1d é uma rede proxy difícil de ser localizada. Publicidade fraudulenta e tráfego falso, para falsificação de números de publicidade, também fazem parte do modelo de negócios, assim como a fraude de cliques.
