Uma nova variante do botnet de malware Mirai foi vista infectando caixas de Android TV baratas usadas por milhões para streaming de mídia.
De acordo com a equipe de antivírus da Dr. Web, o atual trojan é uma nova versão do backdoor 'Pandora' que apareceu pela primeira vez em 2015.
Os principais alvos desta campanha são modelos de caixas de Android TV de baixo custo como Tanix TX6 TV Box, MX10 Pro 6K e H96 MAX X3, que possuem processadores quad-core capazes de lançar ataques DDoS poderosos mesmo em pequenos grupos.
A Dr. Web relata que o malware chega aos dispositivos por meio de uma atualização de firmware mal-intencionada assinada com chaves de teste publicamente disponíveis ou distribuída por meio de aplicativos maliciosos em domínios voltados para usuários interessados em conteúdo pirateado.
No primeiro caso, essas atualizações de firmware são instaladas pelos revendedores dos dispositivos ou os usuários são enganados para baixá-las de sites que prometem streaming de mídia irrestrito ou melhor compatibilidade com uma gama mais ampla de aplicativos.
O serviço malicioso está em 'boot.img', que contém os componentes do kernel e ramdisk carregados durante a inicialização do sistema Android, portanto, é um excelente mecanismo de persistência.
O segundo canal de distribuição são aplicativos de conteúdo pirateado que prometem acesso a coleções de programas de TV e filmes protegidos por direitos autorais gratuitamente ou por uma taxa baixa.
A Dr. Web dá exemplos de aplicativos Android que infectaram dispositivos com essa nova variante de malware Mirai.
Neste caso, a persistência é alcançada durante a primeira execução dos aplicativos maliciosos, que iniciam o 'GoMediaService' em segundo plano sem o conhecimento do usuário e o configuram para iniciar automaticamente na inicialização do dispositivo.
Esse serviço chama o programa 'gomediad.so', que descompacta vários arquivos, incluindo um interpretador de linha de comando que executa com privilégios elevados ('Tool.AppProcessShell.1') e um instalador para o backdoor Pandora ('.tmp.sh').
Uma vez ativo, o backdoor se comunica com o servidor C2, substitui o arquivo HOSTS, atualiza-se e então entra em modo de espera, aguardando comandos vindos dos operadores.
A Dr. Web relata que o malware pode realizar ataques DDoS nos protocolos TCP e UDP, como gerar solicitações de inundação SYN, ICMP e DNS, bem como abrir uma shell reversa, montar partições do sistema para modificação e mais.
Caixas de Android TV amigáveis ao orçamento geralmente têm uma jornada obscura do fabricante ao consumidor, deixando o usuário final no escuro sobre suas origens, possíveis alterações de firmware e várias mãos por onde passaram.
Mesmo para consumidores cautelosos que mantêm a ROM original e são seletivos sobre instalações de aplicativos, há um risco persistente de os dispositivos chegarem com malware pré-instalado.
Dito isso, seria aconselhável optar por dispositivos de streaming de marcas confiáveis, como Google Chromecast, Apple TV, NVIDIA Shield, Amazon Fire TV e Roku Stick.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...