Variante de Mirai 'Pandora' utilizada para secuestrar televisores Androiv
Se ha observado que una variante de la botnet Mirai, conocida como Pandora, se infiltra en televisores y cajas de TV de bajo costo basados en Android para utilizarlos como parte de una botnet para llevar a cabo ataques distribuidos de denegación de servicio (DDoS).
Según los investigadores, estos compromisos probablemente ocurren durante actualizaciones de firmware maliciosas o cuando los usuarios instalan aplicaciones para transmitir contenido de video pirateado.
El análisis sugiere que esta actualización puede haber estado disponible para su descarga desde varios sitios web, ya que está firmada con claves de prueba del Proyecto de código abierto de Android disponibles públicamente. El servicio de puerta trasera está integrado en boot.img, lo que le permite persistir entre reinicios del sistema.
Pandora se difunde a través de aplicaciones de transmisión de películas pirateadas
En métodos de distribución alternativos, se sospecha que los usuarios son engañados para que instalen aplicaciones para transmitir películas y programas de televisión pirateados, dirigidas principalmente a usuarios de habla hispana. La lista de aplicaciones involucradas incluye Latino VOD (com.global.latinotvod), Tele Latino (com.spanish.latinomobile), UniTV (com.global.unitviptv) y YouCine TV (com.world.youcinetv).
Una vez instalada una de estas aplicaciones, inicia un servicio en segundo plano "GoMediaService", que luego se utiliza para descomprimir varios archivos, incluido un intérprete con privilegios elevados y un instalador para Pandora.
El propósito de Pandora es establecer contacto con un servidor remoto, reemplazar el archivo hosts del sistema con una variante maliciosa y recibir más instrucciones para lanzar ataques DDoS a través de los protocolos TCP y UDP y abrir un shell inverso.
Los objetivos principales de esta campaña son cajas de TV Android asequibles como Tanix TX6 TV Box, MX10 Pro 6K y H96 MAX X3, todas las cuales cuentan con procesadores de cuatro núcleos de Allwinner y Amlogic, lo que las hace adecuadas para lanzar ataques DDoS.
Para mitigar este tipo de infecciones, es recomendable que los usuarios mantengan sus dispositivos actualizados y descarguen software exclusivamente de fuentes confiables.