Mirai 变种“Pandora”用于劫持 Android 电视
据观察,Mirai 僵尸网络的一个变体(称为 Pandora)会渗透到基于 Android 的低成本电视机和电视盒,将其用作僵尸网络的一部分,以进行分布式拒绝服务 (DDoS) 攻击。
研究人员表示,这些危害可能发生在恶意固件更新期间或用户安装用于流式传输盗版视频内容的应用程序时。
分析表明,此更新可能已可以从各个网站下载,因为它是使用公开可用的 Android 开源项目测试密钥进行签名的。后门服务嵌入在 boot.img 中,使其能够在系统重新启动之间持续存在。
潘多拉通过盗版电影流媒体应用程序传播
在其他分发方法中,怀疑用户被欺骗安装用于流式传输盗版电影和电视节目的应用程序,主要针对西班牙语用户。涉及的应用程序列表包括 Latino VOD (com.global.latinotvod)、Tele Latino (com.spanish.latinomobile)、UniTV (com.global.unitviptv) 和 YouCine TV (com.world.youcinetv)。
一旦安装了这些应用程序之一,它就会启动后台“GoMediaService”服务,然后使用该服务解压多个文件,包括具有提升权限的解释器和 Pandora 安装程序。
Pandora的目的是与远程服务器建立联系,用恶意变种替换系统的hosts文件,并接收通过TCP和UDP协议发起DDoS攻击并打开反向shell的进一步指令。
该活动的主要目标是价格实惠的 Android 电视盒,如 Tanix TX6 TV Box、MX10 Pro 6K 和 H96 MAX X3,所有这些都配备了 Allwinner 和 Amlogic 的四核处理器,适合发起 DDoS 攻击。
为了减轻此类感染,建议用户保持设备更新并仅从可信来源下载软件。