Wariant botnetu Mirai „Pandora” porywa telewizory z systemem Android w celu przeprowadzania cyberataków

46

Zaobserwowano, że wariant botnetu Mirai o nazwie Pandora infiltruje niedrogie telewizory i odbiorniki telewizyjne z systemem Android i wykorzystuje je jako część botnetu do przeprowadzania rozproszonych ataków typu „odmowa usługi” (DDoS).

Doctor Web stwierdził, że do kompromisów prawdopodobnie dojdzie podczas aktualizacji złośliwego oprogramowania sprzętowego lub gdy zostaną zainstalowane aplikacje umożliwiające przeglądanie pirackich treści wideo.

„Jest prawdopodobne, że aktualizacja ta została udostępniona do pobrania z wielu stron internetowych, ponieważ jest podpisana publicznie dostępnymi kluczami testowymi Android Open Source Project” – stwierdziła rosyjska firma w opublikowanej w środę analizie.

„Usługa uruchamiająca backdoora jest zawarta w pliku boot.img”, dzięki czemu może działać pomiędzy ponownymi uruchomieniami systemu.

W przypadku alternatywnych metod dystrybucji podejrzewa się, że użytkownicy są oszukiwani w celu zainstalowania aplikacji umożliwiających strumieniowe przesyłanie pirackich filmów i programów telewizyjnych za pośrednictwem witryn internetowych, które wyróżniają głównie użytkowników hiszpańskojęzycznych.

Więcej od autora
1 z 168

Lista aplikacji jest następująca:

  • Latynoski VOD (com.global.latinotvod)
  • Tele Latino (com.spanish.latinomobile)
  • UniTV APK (com.global.unitviptv) i
  • Telewizja YouCine (com.world.youcinetv)

Po zainstalowaniu aplikacja uruchamia w tle usługę „GoMediaService”, która jest następnie używana do rozpakowywania szeregu plików, w tym interpretera działającego z podwyższonymi uprawnieniami i instalatora Pandory.

Pandora ze swojej strony jest zaprojektowana do kontaktowania się ze zdalnym serwerem, zastępowania pliku hosts w systemie nieuczciwym wariantem i otrzymywania dodatkowych poleceń umożliwiających przeprowadzanie ataków DDoS za pośrednictwem protokołów TCP i UDP oraz otwieranie powłoki odwrotnej.

Głównymi celami kampanii są tanie urządzenia Android TV, takie jak Tanix TX6 TV Box, MX10 Pro 6K i H96 MAX X3, które są wyposażone w czterordzeniowe procesory firm Allwinner i Amlogic, co czyni je idealnymi kandydatami do przeprowadzania ataków DDoS.

Aby zapobiec takim infekcjom, zaleca się, aby użytkownicy aktualizowali swoje urządzenia i pobierali oprogramowanie wyłącznie z zaufanych źródeł.

Źródło: thehackernews
Komentarz