Mirai-variant 'Pandora' gebruikt om Androiv-tv's te kapen
Er is waargenomen dat een variant van het Mirai-botnet, bekend als Pandora, goedkope Android-tv-toestellen en tv-boxen infiltreert om deze te gebruiken als onderdeel van een botnet voor het uitvoeren van gedistribueerde denial-of-service (DDoS)-aanvallen.
Volgens onderzoekers vinden deze compromissen waarschijnlijk plaats tijdens kwaadaardige firmware-updates of wanneer gebruikers applicaties installeren voor het streamen van illegale video-inhoud.
Uit de analyse blijkt dat deze update mogelijk beschikbaar is gesteld om te downloaden vanaf verschillende websites, omdat deze is ondertekend met openbaar beschikbare Android Open Source Project-testsleutels. De backdoor-service is ingebed in boot.img, waardoor deze blijft bestaan tussen herstarts van het systeem.
Pandora verspreid via illegale filmstreaming-apps
Bij alternatieve distributiemethoden wordt vermoed dat gebruikers worden misleid om applicaties te installeren voor het streamen van illegale films en tv-programma's, die voornamelijk gericht zijn op Spaanstalige gebruikers. De lijst met betrokken apps omvat Latino VOD (com.global.latinotvod), Tele Latino (com.spanish.latinomobile), UniTV (com.global.unitviptv) en YouCine TV (com.world.youcinetv).
Zodra een van deze apps is geïnstalleerd, initieert deze een "GoMediaService"-service op de achtergrond, die vervolgens wordt gebruikt om verschillende bestanden uit te pakken, waaronder een tolk met verhoogde rechten en een installatieprogramma voor Pandora.
Het doel van Pandora is om contact te leggen met een externe server, het hosts-bestand van het systeem te vervangen door een kwaadaardige variant en verdere instructies te ontvangen voor het lanceren van DDoS-aanvallen via TCP- en UDP-protocollen en het openen van een omgekeerde shell.
De primaire doelwitten van deze campagne zijn betaalbare Android TV-boxen zoals Tanix TX6 TV Box, MX10 Pro 6K en H96 MAX X3, die allemaal beschikken over quad-coreprocessors van Allwinner en Amlogic, waardoor ze geschikt zijn voor het lanceren van DDoS-aanvallen.
Om dergelijke infecties te beperken, is het raadzaam dat gebruikers hun apparaten up-to-date houden en software uitsluitend van vertrouwde bronnen downloaden.