Μια νέα παραλλαγή του Mirai malware botnet μολύνει οικονομικά Android TV set-top boxes, που χρησιμοποιούνται από εκατομμύρια χρήστες για streaming.
Σύμφωνα με την ομάδα αναλυτών της Dr. Web, το νέο trojan είναι μια νέα έκδοση του backdoor “Pandora” που εμφανίστηκε για πρώτη φορά το 2015.
Όπως προείπαμε, στο στόχαστρο βρίσκονται χαμηλού κόστους Android TV boxes, όπως τα Tanix TX6 TV Box, MX10 Pro 6K και H96 MAX X3. Αυτά διαθέτουν τετραπύρηνους επεξεργαστές, ικανούς να εκτοξεύουν ισχυρές επιθέσεις DDoS.
Δείτε επίσης: 1,2 terabytes δεδομένων κλάπηκαν στην επίθεση ransomware στο Dallas
Η Dr. Web αναφέρει ότι οι συσκευές μολύνονται με δύο τρόπους:
- μέσω μιας κακόβουλης ενημέρωσης firmware που υπογράφεται με δημόσια διαθέσιμα test keys
- μέσω κακόβουλων εφαρμογών που στοχεύουν χρήστες που ενδιαφέρονται για πειρατικό περιεχόμενο
Στην περίπτωση των ενημερώσεων firmware, είτε γίνεται η εγκατάσταση από μεταπωλητές των συσκευών είτε οι ίδιοι οι χρήστες εξαπατώνται για να τις κατεβάσουν από ιστότοπους που υπόσχονται απεριόριστο streaming ή καλύτερη συμβατότητα με ένα ευρύτερο φάσμα εφαρμογών.
Η κακόβουλη υπηρεσία βρίσκεται στο “boot.img“, το οποίο περιέχει τα kernel και ramdisk components που φορτώνονται κατά την εκκίνηση του συστήματος Android. Επομένως, είναι ένας εξαιρετικός μηχανισμός για την επίτευξη persistence.
Όσον αφορά στη διανομή μέσω κακόβουλων εφαρμογών, πρόκειται για εφαρμογές με πειρατικό περιεχόμενο που υπόσχονται δωρεάν πρόσβαση (ή με χαμηλή χρέωση) σε συλλογές τηλεοπτικών εκπομπών και ταινιών που κανονικά προστατεύονται από πνευματικά δικαιώματα.
Δείτε επίσης: Πανεπιστήμιο του Michigan: Απαιτεί password reset μετά την πρόσφατη κυβερνοεπίθεση
Η Dr. Web δίνει παραδείγματα εφαρμογών Android που μόλυναν συσκευές με αυτήν τη νέα παραλλαγή του malware botnet Mirai.
Σε αυτήν την περίπτωση, το persistence επιτυγχάνεται κατά την πρώτη εκκίνηση των κακόβουλων εφαρμογών, οι οποίες ανοίγουν το “GoMediaService” στο παρασκήνιο, χωρίς να το γνωρίζει ο χρήστης, και το ρυθμίζουν σε αυτόματη εκκίνηση κατά την εκκίνηση της συσκευής.
Αυτή η υπηρεσία καλεί το πρόγραμμα “gomediad.so“, το οποίο κάνει unpacking πολλά αρχεία, συμπεριλαμβανομένου ενός command-line interpreter που εκτελείται με αυξημένα δικαιώματα (“Tool.AppProcessShell.1”) και ενός installer για το Pandora backdoor (“.tmp.sh”).
Μόλις ενεργοποιηθεί, το backdoor επικοινωνεί με τον C2 server, αντικαθιστά το HOSTS file, ενημερώνεται και στη συνέχεια εισέρχεται σε κατάσταση αναμονής, περιμένοντας τις εισερχόμενες εντολές από τους χειριστές του.
Οι αναλυτές της Dr. Web αναφέρουν ότι το κακόβουλο λογισμικό μπορεί να εκτελεί επιθέσεις DDoS μέσω των πρωτοκόλλων TCP και UDP και να πραγματοποιήσει και άλλες κακόβουλες δραστηριότητες.
H Dr. Web συνιστά την ενημέρωση των λειτουργικών συστημάτων στις συσκευές για τη διόρθωση υπαρχουσών ευπαθειών. Επίσης, προτείνει τη λήψη λογισμικού μόνο από αξιόπιστες πηγές: επίσημους ιστότοπους ή καταστήματα εφαρμογών.
Δείτε επίσης: Κακόβουλα Google ads εξαπατούν τους χρήστες Mac να εγκαταστήσουν το Atomic Stealer malware
Android TV boxes: Είναι επικίνδυνες συσκευές;
Τα Android TV boxes αποτελούν ένα οικονομικό και προσιτό μέσο για εκατομμύρια χρήστες για να απολαμβάνουν streaming περιεχόμενο, όπως ταινίες, σειρές και μουσική, από το διαδίκτυο. Ωστόσο, η χρήση τους συνοδεύεται από κινδύνους, όπως η εγκατάσταση κακόβουλου λογισμικού.
Τα οικονομικά Android TV boxes, στα οποία στρέφονται πολλοί χρήστες, μπορεί να είναι επικίνδυνα, επειδή ο καταναλωτής μπορεί να μην γνωρίζει ακριβώς την προέλευσή τους, τις πιθανές αλλαγές firmware και τα διάφορα χέρια από τα οποία έχουν περάσει οι συσκευές πριν καταλήξουν σε αυτούς.
Ακόμη και οι πιο προσεκτικοί καταναλωτές που διατηρούν το original ROM και είναι επιλεκτικοί με την εγκατάσταση εφαρμογών, μπορεί να κινδυνεύουν, καθώς οι συσκευές μπορεί να φτάσουν με το κακόβουλο λογισμικό ήδη φορτωμένο. Επομένως, για περισσότερη ασφάλεια, είναι καλό να επιλέγετε γνωστά και αξιόπιστα brands, όπως το Google Chromecast, το Apple TV, το NVIDIA Shield, το Amazon Fire TV και το Roku Stick.
Πηγή: www.bleepingcomputer.com
