Une variante du botnet Mirai appelée Pandore a été observé en train d’infiltrer des téléviseurs et des boîtiers TV bon marché basés sur Android et de les utiliser dans le cadre d’un botnet pour effectuer des attaques par déni de service distribué (DDoS).
Doctor Web a déclaré que ces compromissions sont susceptibles de se produire soit lors de mises à jour malveillantes du micrologiciel, soit lors de l’installation d’applications permettant de visualiser du contenu vidéo piraté.
« Il est probable que cette mise à jour ait été mise à disposition en téléchargement à partir d’un certain nombre de sites Web, car elle est signée avec les clés de test du projet Android Open Source accessibles au public », a déclaré la société russe. dit dans une analyse publiée mercredi.
« Le service qui exécute la porte dérobée est inclus dans boot.img », ce qui lui permet de persister entre les redémarrages du système.
Dans les méthodes de distribution alternatives, on soupçonne que les utilisateurs sont amenés à installer des applications pour diffuser des films et des émissions de télévision piratés via des sites Web qui ciblent principalement les utilisateurs hispanophones.
La liste des applications est la suivante –
- VOD latino (com.global.latinotvod)
- Tele Latino (com.spanish.latinomobile)
- UniTV APK (com.global.unitviptv), et
- YouCine TV (com.world.youcinetv)
Une fois qu’une application est installée, elle lance un service « GoMediaService » en arrière-plan qui est ensuite utilisé pour décompresser un certain nombre de fichiers, notamment un interpréteur qui s’exécute avec des privilèges élevés et un programme d’installation pour Pandora.
Bien trop vulnérable : découvrir l’état de la surface d’attaque d’identité
MFA atteinte ? PAM ? Protection du compte de service ? Découvrez à quel point votre organisation est réellement équipée contre les menaces d’identité
Pandora, pour sa part, est conçu pour contacter un serveur distant, remplacer le fichier hosts sur le système par une variante malveillante et recevoir des commandes supplémentaires pour monter des attaques DDoS via les protocoles TCP et UDP et ouvrir un shell inversé.
Les principales cibles de la campagne sont les boîtiers Android TV bon marché tels que Tanix TX6 TV Box, MX10 Pro 6K et H96 MAX X3, équipés de processeurs quadricœurs d’Allwinner et Amlogic, ce qui en fait un candidat idéal pour lancer des attaques DDoS.
Pour atténuer de telles infections, il est recommandé aux utilisateurs de maintenir leurs appareils à jour et de s’en tenir au téléchargement de logiciels uniquement à partir de sources fiables.