- 9,318
- 18
- 8 Ноя 2022
История про то, когда экономия приводит к компромиссам в безопасности.
Специалисты ИБ-компании Dr. Web Для просмотра ссылки Войдиили Зарегистрируйся новый вариант вредоносного ПО Mirai , заражающий бюджетные Android TV-приставки. Вариант является новой версией бэкдора Pandora, который впервые появился в 2015 году.
Основные цели и методы распространения
Основными целями кампании являются недорогие Android TV-приставки Tanix TX6 TV Box, MX10 Pro 6K и H96 MAX X3. Эти устройства оснащены четырехъядерными процессорами, способными запускать мощные DDoS -атаки даже при небольших размерах ботнета .
Вредоносное ПО попадает на устройства двумя основными способами:
Примеры сайтов с поддельной прошивкой
Технические детали
Вредоносный код находится в «boot.img» — файл, содержащий компоненты ядра и ramdisk, которые загружаются во время загрузки Android. Такой механизм обеспечивает высокую уровень устойчивости вредоносного ПО. После первого запуска злонамеренного приложения активируется фоновый сервис «GoMediaService», который автоматически запускается при каждой загрузке устройства.
После активации троян настраивает связь с C2 -сервером, заменяет системный файл HOSTS, обновляет себя и переходит в режим ожидания команд от операторов. Dr. Web сообщает, что среди прочих действий вредоносное ПО может выполнять DDoS-атаки, настраивать Reverse Shell и модифицировать системные разделы.
Даже осторожные потребители, сохраняющие оригинальную прошивку и выбирающие приложения, рискуют получить устройства с предустановленным вредоносным ПО. Поэтому рекомендуется выбирать устройства для стриминга от проверенных брендов.
Вредоносное ПО Pandora уже использовалось в атаках. В июле этого года Для просмотра ссылки Войдиили Зарегистрируйся Fargate, один из сервисов Amazon Web Services ( AWS ). Помимо прочих инструментов, хакеры также использовали Pandora, чтобы проводить DDoS-атаки на цели.
Кроме того, в конце июля Для просмотра ссылки Войдиили Зарегистрируйся кампанию ботнета Mirai, нацеленную на неправильно сконфигурированные и плохо защищенные серверы Apache Tomcat. Aqua за 2 года обнаружила более 800 атак на приманки (Honeypot) своих серверов Tomcat, причем 96% атак были связаны с ботнетом Mirai.
Специалисты ИБ-компании Dr. Web Для просмотра ссылки Войди
Основные цели и методы распространения
Основными целями кампании являются недорогие Android TV-приставки Tanix TX6 TV Box, MX10 Pro 6K и H96 MAX X3. Эти устройства оснащены четырехъядерными процессорами, способными запускать мощные DDoS -атаки даже при небольших размерах ботнета .
Вредоносное ПО попадает на устройства двумя основными способами:
- Через вредоносное обновление прошивки, подписанное публичными тестовыми ключами. Обновления либо устанавливаются поставщиками устройств, либо пользователи сами скачивают их с мошеннических веб-сайтов, предлагающих «неограниченный доступ к медиаконтенту» или «улучшенную совместимость с приложениями»;
- Через вредоносные приложения, распространяемые на сайтах с пиратским контентом. Подобные приложения обещают бесплатный или дешевый доступ к защищенным авторским правами телешоу и фильмам.
Примеры сайтов с поддельной прошивкой
Технические детали
Вредоносный код находится в «boot.img» — файл, содержащий компоненты ядра и ramdisk, которые загружаются во время загрузки Android. Такой механизм обеспечивает высокую уровень устойчивости вредоносного ПО. После первого запуска злонамеренного приложения активируется фоновый сервис «GoMediaService», который автоматически запускается при каждой загрузке устройства.
После активации троян настраивает связь с C2 -сервером, заменяет системный файл HOSTS, обновляет себя и переходит в режим ожидания команд от операторов. Dr. Web сообщает, что среди прочих действий вредоносное ПО может выполнять DDoS-атаки, настраивать Reverse Shell и модифицировать системные разделы.
Даже осторожные потребители, сохраняющие оригинальную прошивку и выбирающие приложения, рискуют получить устройства с предустановленным вредоносным ПО. Поэтому рекомендуется выбирать устройства для стриминга от проверенных брендов.
Вредоносное ПО Pandora уже использовалось в атаках. В июле этого года Для просмотра ссылки Войди
Кроме того, в конце июля Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
