Mirai Variant "Pandora" Χρησιμοποιείται για την κλοπή τηλεοράσεων Androiv
Μια παραλλαγή του botnet Mirai, γνωστή ως Pandora, έχει παρατηρηθεί να διεισδύει σε τηλεοράσεις και TV box χαμηλού κόστους που βασίζονται σε Android για να τα χρησιμοποιήσει ως μέρος ενός botnet για τη διεξαγωγή επιθέσεων κατανεμημένης άρνησης υπηρεσίας (DDoS).
Σύμφωνα με ερευνητές, αυτοί οι συμβιβασμοί πιθανότατα συμβαίνουν είτε κατά τη διάρκεια κακόβουλων ενημερώσεων υλικολογισμικού είτε όταν οι χρήστες εγκαθιστούν εφαρμογές για ροή πειρατικού περιεχομένου βίντεο.
Η ανάλυση υποδηλώνει ότι αυτή η ενημέρωση μπορεί να έχει γίνει διαθέσιμη για λήψη από διάφορους ιστότοπους, καθώς είναι υπογεγραμμένη με δημόσια διαθέσιμα κλειδιά δοκιμής Έργου Ανοιχτού Κώδικα Android. Η υπηρεσία backdoor είναι ενσωματωμένη στο boot.img, επιτρέποντάς της να παραμείνει μεταξύ των επανεκκινήσεων του συστήματος.
Το Pandora διαδίδεται μέσω πειρατικών εφαρμογών ροής ταινιών
Σε εναλλακτικές μεθόδους διανομής, υπάρχει η υποψία ότι οι χρήστες εξαπατώνται για την εγκατάσταση εφαρμογών για ροή πειρατικών ταινιών και τηλεοπτικών εκπομπών, που στοχεύουν κυρίως ισπανόφωνους χρήστες. Η λίστα των εμπλεκόμενων εφαρμογών περιλαμβάνει Latino VOD (com.global.latinotvod), Tele Latino (com.spanish.latinomobile), UniTV (com.global.unitviptv) και YouCine TV (com.world.youcinetv).
Μόλις εγκατασταθεί μία από αυτές τις εφαρμογές, ξεκινά μια υπηρεσία παρασκηνίου "GoMediaService", η οποία στη συνέχεια χρησιμοποιείται για την αποσυσκευασία πολλών αρχείων, συμπεριλαμβανομένου ενός διερμηνέα με αυξημένα δικαιώματα και ενός προγράμματος εγκατάστασης για το Pandora.
Ο σκοπός της Pandora είναι να δημιουργήσει επαφή με έναν απομακρυσμένο διακομιστή, να αντικαταστήσει το αρχείο κεντρικών υπολογιστών του συστήματος με μια κακόβουλη παραλλαγή και να λάβει περαιτέρω οδηγίες για την εκτόξευση επιθέσεων DDoS μέσω πρωτοκόλλων TCP και UDP και το άνοιγμα ενός αντίστροφου κελύφους.
Οι κύριοι στόχοι αυτής της καμπάνιας είναι προσιτά κουτιά Android TV, όπως Tanix TX6 TV Box, MX10 Pro 6K και H96 MAX X3, τα οποία διαθέτουν όλα τετραπύρηνα επεξεργαστές από την Allwinner και την Amlogic, καθιστώντας τα κατάλληλα για την εκτόξευση επιθέσεων DDoS.
Για τον μετριασμό τέτοιων λοιμώξεων, συνιστάται οι χρήστες να ενημερώνουν τις συσκευές τους και να κάνουν λήψη λογισμικού αποκλειστικά από αξιόπιστες πηγές.
