А Мирай ботнет вариант под названием Пандора наблюдается проникновение недорогой Андроид-телевизоров и ТВ-приставок и использования их как часть бот-сети для выполнения распределенного отказа в обслуживании (DDoS).
По словам Доктора Веб, взломы, скорее всего, происходят либо во время обновления вредоносной прошивки, либо при установке приложений для просмотра пиратского видеоконтента.
"Вполне вероятно, что это обновление было доступно для загрузки с ряда веб-сайтов, поскольку оно подписано общедоступными ключами тестирования проекта Android с открытым исходным кодом", - сообщила российская компания в анализе, опубликованном в среду.
"Служба, запускающая бэкдор, включена в boot.img", что позволяет ей сохраняться между перезапусками системы.
Предполагается, что при альтернативных методах распространения пользователей обманом заставляют устанавливать приложения для потоковой передачи пиратских фильмов и телешоу через веб-сайты, которые в основном предназначены для испаноязычных пользователей.
Список приложений выглядит следующим образом -
- Latino VOD (com.global.latinotvod)
- Tele Latino (com.spanish.latinomobile)
- UniTV (com.global.unitviptv) и
- YouCine TV (com.world.youcinetv)
Pandora, со своей стороны, предназначена для связи с удаленным сервером, замены файла hosts в системе на вредоносный вариант и получения дополнительных команд для проведения DDoS-атак по протоколам TCP и UDP и открытия обратной оболочки.
Основными целями кампании являются дешевые Android-телевизоры, такие как Tanix TX6 TV Box, MX10 Pro 6K и H96 MAX X3, которые оснащены четырехъядерными процессорами от Allwinner и Amlogic, что делает их идеальным кандидатом для запуска DDoS-атак.
Для предотвращения подобных заражений пользователям рекомендуется поддерживать свои устройства в актуальном состоянии и загружать программное обеспечение только из надежных источников.
