Una nuova variante del botnet malware Mirai è stata individuata mentre infettava Android TV box a basso costo, utilizzati da milioni di persone per lo streaming multimediale. Secondo il team antivirus di Dr. Web, l’attuale trojan è una nuova versione della backdoor “Pandora” che è apparsa per la prima volta nel 2015.
Malware nella box
Dr. Web riferisce che il malware arriva sui dispositivi attraverso un aggiornamento firmware maligno firmato con chiavi di test pubblicamente disponibili o distribuito tramite app maligne su domini che mirano agli utenti interessati a contenuti piratati. Nel primo caso, questi aggiornamenti firmware vengono installati dai rivenditori dei dispositivi o gli utenti vengono ingannati a scaricarli da siti web che promettono streaming multimediale senza restrizioni o una migliore compatibilità con una gamma più ampia di applicazioni.
Il servizio maligno si trova nel “boot.img”, che contiene i componenti del kernel e ramdisk caricati durante l’avvio del sistema Android, rendendolo un eccellente meccanismo di persistenza. Il secondo canale di distribuzione sono le app di contenuti piratati che promettono accesso a collezioni di programmi TV e film protetti da copyright gratuitamente o a un costo basso.
Funzionamento del malware
In questo caso, la persistenza viene ottenuta durante il primo avvio delle app maligne, che avviano il “GoMediaService” in background senza il consenso dell’utente e lo impostano per l’avvio automatico all’accensione del dispositivo. Questo servizio chiama il programma “gomediad.so”, che estrae diversi file, inclusi un interprete di comandi che viene eseguito con privilegi elevati (“Tool.AppProcessShell.1”) e un installatore per il backdoor Pandora (“.tmp.sh”).
Una volta attivato, il backdoor comunica con il server C2, sostituisce il file HOSTS, si aggiorna e poi entra in modalità standby, in attesa di comandi in arrivo dai suoi operatori. Dr. Web segnala che il malware può eseguire attacchi DDoS sui protocolli TCP e UDP, come generare richieste di inondazione SYN, ICMP e DNS, oltre ad aprire una shell inversa, montare partizioni di sistema per modifiche e altro ancora.
Dispositivi inerentemente a rischio
Gli Android TV box economici spesso hanno un percorso oscuro dal produttore al consumatore, lasciando l’utente finale all’oscuro delle loro origini, delle potenziali modifiche del firmware e delle varie mani attraverso cui sono passati. Anche per i consumatori cauti che mantengono la ROM originale e sono selettivi riguardo alle installazioni delle app, c’è il rischio persistente che i dispositivi arrivino con malware preinstallato.
Pertanto, sarebbe consigliabile optare per dispositivi di streaming di marchi affidabili come Google Chromecast, Apple TV, NVIDIA Shield, Amazon Fire TV e Roku Stick.