Una variante de la botnet Mirai llamada Pandora Se ha observado infiltrándose en televisores y cajas de TV económicos basados en Android y usándolos como parte de una botnet para realizar ataques distribuidos de denegación de servicio (DDoS).
Según Doctor Web, es probable que los ataques se produzcan durante actualizaciones de firmware maliciosas o cuando se instalan aplicaciones para ver contenidos de vídeo pirateados.
«Es probable que esta actualización esté disponible para su descarga desde varios sitios web, ya que está firmada con claves de prueba del Proyecto de código abierto de Android disponibles públicamente», dijo la compañía rusa. dicho en un análisis publicado el miércoles.
«El servicio que ejecuta la puerta trasera está incluido en boot.img», lo que le permite persistir entre reinicios del sistema.
En los métodos de distribución alternativos, se sospecha que se engaña a los usuarios para que instalen aplicaciones para transmitir películas y programas de televisión pirateados a través de sitios web que destacan principalmente a los usuarios de habla hispana.
La lista de aplicaciones es la siguiente:
- VOD latino (com.global.latinotvod)
- Tele Latino (com.spanish.latinomobile)
- UniTV (com.global.unitviptv), y
- YouCine TV (com.world.youcinetv)
Una vez instalada una aplicación, inicia un servicio «GoMediaService» en segundo plano que luego se utiliza para descomprimir una serie de archivos, incluido un intérprete que se ejecuta con privilegios elevados y un instalador para Pandora.
Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad
¿Consiguió el MFA? ¿PAM? ¿Protección de la cuenta de servicio? Descubra qué tan bien equipada está realmente su organización contra las amenazas a la identidad
Pandora, por su parte, está diseñado para contactar un servidor remoto, reemplazar el archivo hosts en el sistema con una variante maliciosa y recibir comandos adicionales para montar ataques DDoS a través de los protocolos TCP y UDP y abrir un shell inverso.
Los objetivos principales de la campaña son cajas de TV Android económicas como Tanix TX6 TV Box, MX10 Pro 6K y H96 MAX X3, que vienen con procesadores de cuatro núcleos de Allwinner y Amlogic, lo que las convierte en un candidato ideal para lanzar ataques DDoS.
Para mitigar este tipo de infecciones, se recomienda que los usuarios mantengan sus dispositivos actualizados y se limiten a descargar software sólo de fuentes confiables.