07 Eylül 2023THNBotnet / Siber Tehdit
Bir Mirai botnet çeşidi adı verildi Pandora Ucuz Android tabanlı TV setlerine ve TV kutularına sızdığı ve bunları dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek için bir botnet’in parçası olarak kullandığı gözlemlendi.
Doctor Web, güvenlik açıklarının büyük olasılıkla kötü amaçlı ürün yazılımı güncellemeleri sırasında veya korsan video içeriğini görüntülemeye yönelik uygulamalar yüklendiğinde ortaya çıkacağını söyledi.
Rus şirket, “Herkese açık Android Açık Kaynak Projesi test anahtarlarıyla imzalandığı için bu güncellemenin çeşitli web sitelerinden indirilmeye hazır hale getirilmiş olması muhtemeldir” dedi. söz konusu Çarşamba günü yayınlanan bir analizde.
“Arka kapıyı çalıştıran hizmet, boot.img dosyasına dahil edilmiştir”, bu da sistemin yeniden başlatılması arasında devam etmesini sağlar.
Alternatif dağıtım yöntemlerinde, kullanıcıların çoğunlukla İspanyolca konuşan kullanıcıları hedef alan web siteleri aracılığıyla korsan film ve TV şovlarını yayınlamak için uygulamalar yüklemeye kandırıldığından şüpheleniliyor.
Uygulamaların listesi aşağıdaki gibidir –
Bir uygulama yüklendikten sonra arka planda bir “GoMediaService” hizmeti başlatır ve bu hizmet, yükseltilmiş ayrıcalıklarla çalışan bir yorumlayıcı ve Pandora için bir yükleyici de dahil olmak üzere bir dizi dosyayı açmak için kullanılır.
Pandora ise uzak bir sunucuyla iletişim kurmak, sistemdeki hosts dosyasını hileli bir değişkenle değiştirmek ve TCP ve UDP protokolleri aracılığıyla DDoS saldırıları başlatmak ve bir ters kabuk açmak için ek komutlar almak üzere tasarlandı.
Kampanyanın öncelikli hedefleri, Allwinner ve Amlogic’in dört çekirdekli işlemcileriyle birlikte gelen Tanix TX6 TV Box, MX10 Pro 6K ve H96 MAX X3 gibi ucuz Android TV kutularıdır; bu da onları DDoS saldırıları başlatmak için ideal bir aday haline getiriyor.
Bu tür bulaşmaları azaltmak için kullanıcıların cihazlarını güncel tutmaları ve yazılımı yalnızca güvenilir kaynaklardan indirmeleri önerilir.