История про то, когда экономия приводит к компромиссам в безопасности.

Специалисты ИБ-компании Dr. Web обнаружили новый вариант вредоносного ПО Mirai, заражающий бюджетные Android TV-приставки. Вариант является новой версией бэкдора Pandora, который впервые появился в 2015 году.

Основные цели и методы распространения

Основными целями кампании являются недорогие Android TV-приставки Tanix TX6 TV Box, MX10 Pro 6K и H96 MAX X3. Эти устройства оснащены четырехъядерными процессорами, способными запускать мощные DDoS-атаки даже при небольших размерах ботнета.

Вредоносное ПО попадает на устройства двумя основными способами:

  1. Через вредоносное обновление прошивки, подписанное публичными тестовыми ключами. Обновления либо устанавливаются поставщиками устройств, либо пользователи сами скачивают их с мошеннических веб-сайтов, предлагающих «неограниченный доступ к медиаконтенту» или «улучшенную совместимость с приложениями»;
  2. Через вредоносные приложения, распространяемые на сайтах с пиратским контентом. Подобные приложения обещают бесплатный или дешевый доступ к защищенным авторским правами телешоу и фильмам.

Примеры сайтов с поддельной прошивкой

Технические детали

Вредоносный код находится в «boot.img» — файл, содержащий компоненты ядра и ramdisk, которые загружаются во время загрузки Android. Такой механизм обеспечивает высокую уровень устойчивости вредоносного ПО. После первого запуска злонамеренного приложения активируется фоновый сервис «GoMediaService», который автоматически запускается при каждой загрузке устройства.

После активации троян настраивает связь с C2-сервером, заменяет системный файл HOSTS, обновляет себя и переходит в режим ожидания команд от операторов. Dr. Web сообщает, что среди прочих действий вредоносное ПО может выполнять DDoS-атаки, настраивать Reverse Shell и модифицировать системные разделы.

Даже осторожные потребители, сохраняющие оригинальную прошивку и выбирающие приложения, рискуют получить устройства с предустановленным вредоносным ПО. Поэтому рекомендуется выбирать устройства для стриминга от проверенных брендов.

Вредоносное ПО Pandora уже использовалось в атаках. В июле этого года злоумышленники SCARLETEEL атаковали Fargate, один из сервисов Amazon Web Services (AWS). Помимо прочих инструментов, хакеры также использовали Pandora, чтобы проводить DDoS-атаки на цели.

Кроме того, в конце июля специалисты компании Aqua обнаружили кампанию ботнета Mirai, нацеленную на неправильно сконфигурированные и плохо защищенные серверы Apache Tomcat. Aqua за 2 года обнаружила более 800 атак на приманки (Honeypot) своих серверов Tomcat, причем 96% атак были связаны с ботнетом Mirai.

Источник: securitylab