Вариант Mirai «Пандора» использовался для взлома телевизоров «Андроив»
Было замечено, что вариант ботнета Mirai, известный как Pandora, проникает в недорогие телевизоры и ТВ-приставки на базе Android, чтобы использовать их как часть ботнета для проведения распределенных атак типа «отказ в обслуживании» (DDoS).
По мнению исследователей, эти компрометации, скорее всего, происходят либо во время вредоносных обновлений прошивки, либо когда пользователи устанавливают приложения для потоковой передачи пиратского видеоконтента.
Анализ показывает, что это обновление могло быть доступно для загрузки с различных веб-сайтов, поскольку оно подписано общедоступными тестовыми ключами Android Open Source Project. Служба бэкдора встроена в boot.img, что позволяет ей сохраняться между перезапусками системы.
Пандора распространилась через пиратские приложения для потоковой передачи фильмов
При использовании альтернативных методов распространения подозревается, что пользователей обманом заставляют устанавливать приложения для потоковой передачи пиратских фильмов и телешоу, ориентированные в первую очередь на испаноязычных пользователей. В список задействованных приложений входят Latino VOD (com.global.latinotvod), Tele Latino (com.spanish.latinomobile), UniTV (com.global.unitviptv) и YouCine TV (com.world.youcinetv).
После установки одного из этих приложений оно запускает фоновую службу GoMediaService, которая затем используется для распаковки нескольких файлов, включая интерпретатор с повышенными привилегиями и установщик для Pandora.
Цель Pandora — установить контакт с удаленным сервером, заменить системный файл hosts на вредоносный вариант и получить дальнейшие инструкции по запуску DDoS-атаки по протоколам TCP и UDP и открытию обратного шелла.
Основными целями этой кампании являются доступные ТВ-приставки на платформе Android, такие как Tanix TX6 TV Box, MX10 Pro 6K и H96 MAX X3, все из которых оснащены четырехъядерными процессорами от Allwinner и Amlogic, что делает их пригодными для проведения DDoS-атак.
Чтобы снизить риск таких заражений, пользователям рекомендуется регулярно обновлять свои устройства и загружать программное обеспечение исключительно из надежных источников.
