Mirai 變種“Pandora”用於劫持 Android 電視
據觀察,Mirai 殭屍網絡的一個變體(稱為 Pandora)會滲透到基於 Android 的低成本電視機和電視盒,將其用作殭屍網絡的一部分,以進行分佈式拒絕服務 (DDoS) 攻擊。
研究人員表示,這些危害可能發生在惡意固件更新期間或用戶安裝用於流式傳輸盜版視頻內容的應用程序時。
分析表明,此更新可能已可以從各個網站下載,因為它是使用公開可用的 Android 開源項目測試密鑰進行簽名的。後門服務嵌入在 boot.img 中,使其能夠在系統重新啟動之間持續存在。
潘多拉通過盜版電影流媒體應用程序傳播
在其他分發方法中,懷疑用戶被欺騙安裝用於流式傳輸盜版電影和電視節目的應用程序,主要針對西班牙語用戶。涉及的應用程序列表包括 Latino VOD (com.global.latinotvod)、Tele Latino (com.spanish.latinomobile)、UniTV (com.global.unitviptv) 和 YouCine TV (com.world.youcinetv)。
一旦安裝了這些應用程序之一,它就會啟動後台“GoMediaService”服務,然後使用該服務解壓多個文件,包括具有提升權限的解釋器和 Pandora 安裝程序。
Pandora的目的是與遠程服務器建立聯繫,用惡意變種替換系統的hosts文件,並接收通過TCP和UDP協議發起DDoS攻擊並打開反向shell的進一步指令。
該活動的主要目標是價格實惠的 Android 電視盒,如 Tanix TX6 TV Box、MX10 Pro 6K 和 H96 MAX X3,所有這些都配備了 Allwinner 和 Amlogic 的四核處理器,適合發起 DDoS 攻擊。
為了減輕此類感染,建議用戶保持設備更新並僅從可信來源下載軟件。