Bir Mirai botnet çeşidi adı verildi Pandora Ucuz Android tabanlı TV setlerine ve TV kutularına sızdığı ve bunları dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek için bir botnet’in parçası olarak kullandığı gözlemlendi.
Doctor Web, güvenlik açıklarının büyük ihtimalle kötü amaçlı ürün yazılımı güncellemeleri sırasında veya korsan video içeriğini görüntülemeye yönelik uygulamalar yüklendiğinde ortaya çıkacağını söyledi.
Rus şirket Çarşamba günü yayınlanan bir analizde, “Bu güncellemenin, halka açık Android Açık Kaynak Projesi test anahtarlarıyla imzalandığı için muhtemelen bir dizi web sitesinden indirilmeye hazır hale getirilmiş olması muhtemeldir.” dedi.
“Arka kapıyı çalıştıran hizmet boot.img’ye dahil edilmiştir”, bu da sistemin yeniden başlatılması arasında devam etmesini sağlar.
Alternatif dağıtım yöntemlerinde, kullanıcıların çoğunlukla İspanyolca konuşan kullanıcıları hedef alan web siteleri aracılığıyla korsan film ve TV şovlarını yayınlamak için uygulamalar yüklemeye kandırıldığından şüpheleniliyor.
Uygulamaların listesi aşağıdaki gibidir –
- Latin VOD (com.global.latinotvod)
- Tele Latino (com.spanish.latinomobile)
- UniTV APK (com.global.unitviptv) ve
- YouCine TV (com.world.youcinetv)
Bir uygulama yüklendikten sonra arka planda bir “GoMediaService” hizmeti başlatır ve bu hizmet, yükseltilmiş ayrıcalıklarla çalışan bir yorumlayıcı ve Pandora için bir yükleyici de dahil olmak üzere bir dizi dosyayı açmak için kullanılır.
Çok Savunmasız: Kimlik Saldırısı Yüzeyinin Durumunun Ortaya Çıkarılması
MFA’yı başardınız mı? PAM’mi? Hizmet hesabı koruması? Kuruluşunuzun kimlik tehditlerine karşı gerçekte ne kadar donanımlı olduğunu öğrenin
Becerilerinizi Güçlendirin
Pandora ise uzak bir sunucuyla iletişim kurmak, sistemdeki hosts dosyasını hileli bir değişkenle değiştirmek ve TCP ve UDP protokolleri aracılığıyla DDoS saldırıları başlatmak ve bir ters kabuk açmak için ek komutlar almak üzere tasarlandı.
Kampanyanın öncelikli hedefleri, Allwinner ve Amlogic’in dört çekirdekli işlemcileriyle birlikte gelen Tanix TX6 TV Box, MX10 Pro 6K ve H96 MAX X3 gibi ucuz Android TV kutularıdır; bu da onları DDoS saldırıları başlatmak için ideal bir aday haline getiriyor.
Bu tür bulaşmaları azaltmak için kullanıcıların cihazlarını güncel tutmaları ve yazılımları yalnızca güvenilir kaynaklardan indirmeleri önerilir.