Обнаружен новый вариант ботнета Mirai, заражающий недорогие телевизионные приставки Android TV, используемые миллионами пользователей для потокового воспроизведения мультимедиа.
По данным антивирусной команды Dr. Web, данный троян представляет собой новую версию бэкдора Pandora, впервые появившегося в 2015 году.
Основной целью кампании являются недорогие Android TV-боксы, такие как Tanix TX6 TV Box, MX10 Pro 6K и H96 MAX X3, оснащенные четырехъядерными процессорами, способными осуществлять мощные DDoS-атаки даже при небольшом размере роя.
Вредоносное ПО в коробке
По данным Dr. Web, вредоносная программа попадает на устройства либо через вредоносное обновление прошивки, подписанное общедоступными тестовыми ключами, либо распространяется через вредоносные приложения на доменах, ориентированных на пользователей, интересующихся пиратским контентом.
В первом случае обновления прошивки либо устанавливаются продавцами устройств, либо пользователи обманом загружают их с сайтов, обещающих неограниченную потоковую передачу мультимедиа или лучшую совместимость с более широким спектром приложений.
Вредоносный сервис находится в файле 'boot.img', содержащем компоненты ядра и ramdisk, загружаемые при загрузке системы Android, поэтому он является отличным механизмом сохранения информации.
Второй канал распространения - приложения для работы с пиратским контентом, обещающие бесплатный или платный доступ к коллекциям защищенных авторским правом телепередач и фильмов.
Доктор Веб приводит примеры приложений для Android, заразивших устройства новым вариантом вредоносной программы Mirai.
В данном случае стойкость достигается при первом запуске вредоносных приложений, которые без ведома пользователя запускают в фоновом режиме сервис 'GoMediaService' и устанавливают его на автозапуск при загрузке устройства.
Эта служба вызывает программу 'gomediad.so', которая распаковывает несколько файлов, включая интерпретатор командной строки, запускаемый с повышенными привилегиями ('Tool.AppProcessShell.1'), и установщик бэкдора Pandora ('.tmp.sh').
После активации бэкдор связывается с сервером C2, заменяет файл HOSTS, обновляется, а затем переходит в режим ожидания, ожидая команд от своих операторов.
По данным Dr. Web, вредоносная программа может осуществлять DDoS-атаки по протоколам TCP и UDP, генерировать запросы SYN, ICMP и DNS flood, а также открывать обратный shell, монтировать системные разделы для модификации и многое другое.
Устройства с повышенным риском
Бюджетные ТВ-приставки на базе ОС Android часто проходят мутный путь от производителя до потребителя, оставляя конечного пользователя в неведении относительно их происхождения, возможных изменений в прошивке и того, через какие руки они прошли.
Даже для осторожных покупателей, сохраняющих оригинальное ПЗУ и избирательно относящихся к установке приложений, сохраняется риск того, что устройства будут поставляться с предустановленным вредоносным ПО.
В связи с этим рекомендуется выбирать устройства потокового вещания от надежных брендов, таких как Google Chromecast, Apple TV, NVIDIA Shield, Amazon Fire TV и Roku Stick.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!