Наследник Mirai приходит на гаджеты Android TV в левых апдейтах и стримерах
Главная » Новости

Наследник Mirai приходит на гаджеты Android TV в левых апдейтах и стримерах

Татьяна Никитина 06 Сентября 2023 - 16:15
...
Наследник Mirai приходит на гаджеты Android TV в левых апдейтах и стримерах

Троянские программы, детектируемые в «Доктор Веб» как Android.Pandora, нацелены на IoT-устройства на базе ОС Android TV. Они работают как бэкдоры, приобщают гаджет к ботнету и способны по команде запустить DDoS-атаку.

Представители вредоносного семейства также умеют открывать обратный шелл, монтировать системные разделы Android TV на чтение и запись и т. п. Из DDoS-техник им подвластен только флуд — SYN, ICMP и DNS. Все эти возможности реализованы за счет использования исходников Mirai, слитых в Сеть еще в 2016 году.

Анализ нового образца зловреда выявил сходство с вариантом Android.Pandora.10 (ранее Android.BackDoor.334), некогда найденным во вредоносном обновлении прошивки для ТВ-приставки MTX HTV BOX HTV3. Новобранца удалось обнаружить благодаря наличию сторонних объектов в файловой системе жертв:

  • /system/bin/pandoraspearrk
  • /system/bin/supervisord
  • /system/bin/s.conf
  • /system/xbin/busybox
  • /system/bin/curl

Первый содержал обфусцированный контент и на поверку оказался бэкдором с DDoS-функциями; впоследствии его занесли в базу как Android.Pandora.2. Файл supervisord представляет собой сервис контроля статуса бэкдора.

Легитимные busybox и curl обеспечивают сетевые функции и работу с файловой системой. Файл rootsudaemon.sh запускает службы daemonsu (обладает root-привилегиями) и supervisord (с передачей параметров из s.conf).

В зараженной системе было также замечено изменение некоторых сервисов: скрипт-установщик Pandora добавил в соответствующие sh-файлы строку, чтобы обеспечить зловреду постоянное присутствие в системе:

 

Другим способом распространения Android.Pandora, по данным экспертов, является раздача зараженных приложений с сайтов для нелегального стриминга фильмов и сериалов. Такой сюрприз зачастую можно встретить на испаноязычных ресурсах.

 

Исследователи также отметили, что данное семейство троянов в первую очередь нацелено на устройства на базе Android TV нижнего ценового сегмента. В частности, оно составляет угрозу для владельцев таких приставок, как Tanix TX6 TV Box, MX10 Pro 6K, H96 MAX X3 и т. п.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Магните запустили пилот подтверждения возраста через MAX
Татьяна Никитина 15 Сентября 2025 - 18:55
Общее
В Магните запустили пилот подтверждения возраста через MAX

Торговая сеть «Магнит» приступила к тестированию подтверждения личности покупателей через MAX. Новая технология доступна пользователям мессенджера при оплате товаров с возрастными ограничениями через кассы самообслуживания (КСО).

Пилотный проект пока запущен в десяти магазинах в трех городах: в Москве, Краснодаре и Санкт-Петербурге. В ближайшее время ретейлер обещает расширить охват до 300 торговых точек, а также географию нововведения.

Пилот рассчитан на три месяца, в течение которых будет собираться обратная связь. По результатам будет принято решение о целесообразности дальнейшего масштабирования проекта.

Чтобы воспользоваться новой возможностью, пользователь мобильного MAX должен создать цифровой ID, привязав аккаунт к Госуслугам. При покупке товаров с возрастными ограничениями достаточно будет отсканировать на кассе QR-код, выведенный мессенджером.

Для запуска новой опции команде «Магнита» пришлось подкрутить софт КСО и поработать над его интеграцией с инфраструктурой MAX.

«Рассчитываем, что использование цифрового ID может значительно упростить процесс покупок товаров, которые имеют возрастные ограничения, — заявил Вячеслав Кубаев, главный директор по цифровым технологиям группы компаний «Магнит». — Кроме того, решение, которое мы тестируем, позволит в перспективе снизить нагрузку на персонал магазинов. В дальнейшем цифровой ID может быть использован и в других областях – например, чтобы идентифицировать клиентов, зарегистрированных в программе лояльности, и предлагать им персональный набор акций и услуг».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Telegram начал блокировать каналы, собирающие личные данные
Новость
Telegram начал блокировать каналы, собирающие личные данные
F6 выпустила свой дешифратор для жертв шифровальщика Phobos
Новость
F6 выпустила свой дешифратор для жертв шифровальщика Phobos
При ограничениях на работу интернета сохранится доступ к ряду ресурсов
Новость
При ограничениях на работу интернета сохранится доступ к ряд...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.