Les téléviseurs connectés ne servent plus seulement à regarder Netflix ou YouTube. Selon une enquête récente menée par XLab, un botnet baptisé Vo1d a infecté 1,6 million de téléviseurs et box TV Android dans 226 pays. Cette armée de machines détournées est utilisée pour des activités cybercriminelles, à l’insu de leurs propriétaires.
Le phénomène inquiète d’autant plus que ce malware continue de croître et d’évoluer au fil des jours. Il exploite désormais des technologies avancées de chiffrement et de dissimulation, rendant son éradication particulièrement complexe. En parallèle, les experts soupçonnent qu’une partie du botnet est louée à des groupes criminels, ajoutant une nouvelle dimension à cette affaire.
Proton VPN est l'un des fournisseurs VPN qui a le plus évolué au cours des derniers mois. Affichant l'une des plus belles interfaces du marché, Proton VPN intègre désormais un accélérateur de VPN qui augmente jusqu'à 400 % les vitesses de connexion.
Offre partenaire
Un botnet d’une ampleur inédite
Vo1d est devenu l’un des plus grands botnets de ces dernières années, surpassant même certaines des plus célèbres campagnes d’infection. Avec plus bientôt 1,6 million d’appareils compromis, il rivalise avec des botnets comme Mirai et Bigpanzi, qui ont marqué l’histoire de la cybersécurité par leur ampleur et leur impact.
La répartition géographique des infections montre que certains pays sont plus touchés que d’autres. L'enquête, publiée par XLab, montre que le Brésil est le plus impacté (25 % des infections), suivi de l’Afrique du Sud (13,6 %), l’Indonésie (10,5 %) et l’Argentine (5,3 %). Si la France n’apparaît pas dans le classement des 15 pays les plus touchés, cela ne signifie pas pour autant que les téléviseurs français sont à l’abri. Le mode de propagation du malware restant inconnu, la menace pourrait encore s’étendre.
Comment Vo1d se propage-t-il et quels appareils sont concernés ?
Contrairement à d'autres botnets qui exploitent des vulnérabilités spécifiques ou des campagnes de phishing massives, Vo1d semble s’introduire dans les appareils par plusieurs vecteurs possibles. Des experts en cybersécurité soupçonnent notamment une infection dès la chaîne d’approvisionnement, c’est-à-dire que certains téléviseurs et boîtiers TV sous Android pourraient être compromis avant même leur première utilisation par l’acheteur. Une autre hypothèse concerne l’installation d’applications tierces provenant de sources non officielles, souvent utilisées pour le streaming illégal, qui pourraient servir de porte d’entrée au malware.
En termes d’appareils touchés, Vo1d cible principalement les téléviseurs fonctionnant sous Android TV ainsi que les boîtiers TV connectés. Ces derniers, souvent achetés hors des circuits traditionnels, notamment ceux vendus pour accéder des services IPTV pirates, peuvent recourir à des firmwares modifés et non sécurisés. Une fois infectés, ces appareils deviennent des relais pour des attaques DDoS, des fraudes publicitaires ou encore des serveurs proxy anonymes, permettant aux hackers de masquer leurs activités illégales.
Pourquoi Vo1d inquiète-t-il tant les chercheurs en cybersécurité ?
Vo1d s’appuie sur des techniques avancées de chiffrement et d’évasion pour éviter la détection et le démantèlement. Il utilise notamment un chiffrement RSA 2048 bits couplé à un algorithme personnalisé XXTEA, rendant extrêmement difficile toute tentative d’interception ou de neutralisation par les chercheurs en cybersécurité. De plus, il repose sur un système d’algorithme de génération de domaines (DGA) qui lui permet de créer automatiquement des milliers de nouveaux serveurs Commands & Control (C2), rendant quasi impossible la mise hors ligne de son infrastructure.
XXTEA : un chiffrement furtif au service de Vo1d
XXTEA est un algorithme de chiffrement par blocs léger et rapide, conçu pour fonctionner sur des appareils à faible puissance, comme les téléviseurs connectés et les objets IoT. Il améliore la sécurité de l'algorithme TEA en corrigeant ses vulnérabilités et en permettant de chiffrer des blocs de données de taille variable. Dans le botnet Vo1d, il est associé au chiffrement RSA 2048 bits pour masquer les communications entre les appareils infectés et les serveurs de commande, rendant le réseau plus difficile à détecter et à neutraliser.
Au-delà de sa robustesse technique, Vo1d est inquiétant par son mode opératoire évolutif. Il ne se contente pas d’infecter les téléviseurs connectés : il semble également "louer" temporairement une partie de ses bots à d’autres groupes criminels, permettant ainsi d’exécuter des campagnes malveillantes ponctuelles avant de réintégrer les appareils infectés à son réseau principal. Ce modèle de "location-restitution" montre que Vo1d est non seulement un botnet d’envergure mondiale, mais aussi une véritable plateforme cybercriminelle adaptable à différents types d’attaques, allant du vol de données personnelles aux campagnes de fraude publicitaire en passant par des attaques DDoS massives.
Comment s'en protéger ?
Face à la menace que représente Vo1d, les experts recommandent quelques mesures de précaution essentielles : acheter ses appareils auprès de vendeurs de confiance, éviter d’installer des applications hors Google Play Store, désactiver les accès à distance et isoler les objets connectés du réseau principal. En l’absence de correctif officiel, une vigilance accrue est indispensable pour éviter que votre téléviseur ne se transforme, à votre insu, en acteur du cybercrime mondial.
