A Mirai Variant 'Pandora' az Androiv tévék eltérítésére szolgál
Megfigyelték, hogy a Mirai botnet egy változata, az úgynevezett Pandora beszivárgott az olcsó Android-alapú tévékészülékekbe és tévékészülékekbe, hogy egy botnet részeként használja őket elosztott szolgáltatásmegtagadási (DDoS) támadások végrehajtására.
A kutatók szerint ezek a kompromisszumok valószínűleg rosszindulatú firmware-frissítések során, vagy amikor a felhasználók olyan alkalmazásokat telepítenek, amelyek kalóz videotartalmat streamelnek.
Az elemzés azt sugallja, hogy ezt a frissítést különböző webhelyekről tették letölthetővé, mivel nyilvánosan elérhető Android Open Source Project tesztkulcsokkal írták alá. A hátsó ajtó szolgáltatás be van ágyazva a boot.img fájlba, lehetővé téve, hogy a rendszer újraindításai között fennmaradjon.
A Pandora kalózfilm-streamelő alkalmazásokon keresztül terjed
Az alternatív terjesztési módszereknél a gyanú szerint a felhasználókat megtévesztik azzal, hogy kalózfilmek és tévéműsorok streamelésére szolgáló alkalmazásokat telepítenek, elsősorban spanyolul beszélő felhasználókat célozva meg. Az érintett alkalmazások listáján megtalálható a Latino VOD (com.global.latinotvod), a Tele Latino (com.spanish.latinomobile), az UniTV (com.global.unitviptv) és a YouCine TV (com.world.youcinetv).
Amint az egyik ilyen alkalmazás telepítve van, elindít egy háttérbeli "GoMediaService" szolgáltatást, amelyet azután több fájl kicsomagolására használnak, beleértve egy emelt szintű jogosultságokkal rendelkező tolmácsot és egy telepítőt a Pandora számára.
A Pandora célja, hogy kapcsolatot létesítsen egy távoli szerverrel, lecserélje a rendszer hosts fájlját egy rosszindulatú változatra, és további utasításokat kapjon a TCP és UDP protokollokon keresztüli DDoS támadások indításához és a fordított shell megnyitásához.
A kampány elsődleges célpontjai az olyan megfizethető Android TV-boxok, mint a Tanix TX6 TV Box, MX10 Pro 6K és H96 MAX X3, amelyek mindegyike az Allwinner és az Amlogic négymagos processzorait tartalmazza, így alkalmassá teszi őket DDoS támadások indítására.
Az ilyen fertőzések mérséklése érdekében tanácsos, hogy a felhasználók folyamatosan frissítsék eszközeiket, és kizárólag megbízható forrásokból töltsenek le szoftvereket.