Mirai の亜種「Pandora」が Androiv テレビの乗っ取りに使用

Pandora として知られる Mirai ボットネットの亜種が、低価格の Android ベースの TV セットや TV ボックスに侵入し、分散型サービス拒否 (DDoS) 攻撃を実行するためのボットネットの一部として使用することが観察されています。

研究者らによると、こうした侵害は、悪意のあるファームウェアのアップデート中、またはユーザーが海賊版ビデオ コンテンツをストリーミングするためのアプリケーションをインストールする際に発生する可能性が高いとのことです。

分析によれば、このアップデートは公開されている Android オープンソース プロジェクトのテスト キーで署名されているため、さまざまな Web サイトからダウンロードできるようになっている可能性があります。バックドア サービスは boot.img に埋め込まれているため、システムを再起動してもバックドア サービスを維持できます。

Pandora は海賊版映画ストリーミング アプリを通じて拡散

別の配信方法では、主にスペイン語圏のユーザーをターゲットに、ユーザーがだまされて、海賊版の映画やテレビ番組をストリーミングするためのアプリケーションをインストールさせられている疑いがあります。関係するアプリのリストには、Latino VOD (com.global.latinotvod)、Tele Latino (com.spanish.latinomobile)、UniTV (com.global.unitviptv)、YouCine TV (com.world.youcinetv) が含まれます。

これらのアプリのいずれかがインストールされると、バックグラウンドで「GoMediaService」サービスが開始され、昇格された特権を持つインタープリターや Pandora のインストーラーなど、いくつかのファイルを解凍するために使用されます。

Pandora の目的は、リモート サーバーとの接続を確立し、システムの hosts ファイルを悪意のある亜種に置き換え、TCP および UDP プロトコル経由で DDoS 攻撃を開始し、リバース シェルを開くためのさらなる指示を受け取ることです。

このキャンペーンの主なターゲットは、tanix TX6 TV Box、MX10 Pro 6K、H96 MAX X3 などの手頃な価格の Android TV ボックスで、これらはすべて Allwinner と Amlogic のクアッドコア プロセッサを搭載しており、DDoS 攻撃の開始に適しています。

このような感染を軽減するには、ユーザーがデバイスを常に最新の状態に保ち、信頼できるソースからのみソフトウェアをダウンロードすることをお勧めします。