Variante Mirai "Pandora" utilizzata per dirottare i televisori Androiv
È stato osservato che una variante della botnet Mirai, nota come Pandora, si infiltra in televisori e TV box basati su Android a basso costo per utilizzarli come parte di una botnet per condurre attacchi DDoS (Distributed Denial of Service).
Secondo i ricercatori, queste compromissioni probabilmente si verificano durante aggiornamenti firmware dannosi o quando gli utenti installano applicazioni per lo streaming di contenuti video piratati.
L'analisi suggerisce che questo aggiornamento potrebbe essere stato reso disponibile per il download da vari siti Web poiché è firmato con chiavi di prova del progetto Android Open Source pubblicamente disponibili. Il servizio backdoor è incorporato in boot.img, consentendogli di persistere tra i riavvii del sistema.
Pandora si è diffuso attraverso le app di streaming di film piratati
Con metodi di distribuzione alternativi, si sospetta che gli utenti vengano ingannati nell'installazione di applicazioni per lo streaming di film e programmi TV piratati, rivolte principalmente agli utenti di lingua spagnola. L'elenco delle app coinvolte include Latino VOD (com.global.latinotvod), Tele Latino (com.spanish.latinomobile), UniTV (com.global.unitviptv) e YouCine TV (com.world.youcinetv).
Una volta installata, una di queste app avvia un servizio "GoMediaService" in background, che viene quindi utilizzato per decomprimere diversi file, incluso un interprete con privilegi elevati e un programma di installazione per Pandora.
Lo scopo di Pandora è stabilire un contatto con un server remoto, sostituire il file host del sistema con una variante dannosa e ricevere ulteriori istruzioni per lanciare attacchi DDoS tramite i protocolli TCP e UDP e aprire una shell inversa.
Gli obiettivi principali di questa campagna sono i TV box Android convenienti come Tanix TX6 TV Box, MX10 Pro 6K e H96 MAX X3, tutti dotati di processori quad-core di Allwinner e Amlogic, che li rendono adatti a lanciare attacchi DDoS.
Per mitigare tali infezioni, è consigliabile che gli utenti mantengano aggiornati i propri dispositivi e scarichino software esclusivamente da fonti attendibili.