Наследник Mirai приходит на гаджеты Android TV в левых апдейтах и стримерах
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Наследник Mirai приходит на гаджеты Android TV в левых апдейтах и стримерах

Татьяна Никитина 06 Сентября 2023 - 16:15
...
Наследник Mirai приходит на гаджеты Android TV в левых апдейтах и стримерах

Троянские программы, детектируемые в «Доктор Веб» как Android.Pandora, нацелены на IoT-устройства на базе ОС Android TV. Они работают как бэкдоры, приобщают гаджет к ботнету и способны по команде запустить DDoS-атаку.

Представители вредоносного семейства также умеют открывать обратный шелл, монтировать системные разделы Android TV на чтение и запись и т. п. Из DDoS-техник им подвластен только флуд — SYN, ICMP и DNS. Все эти возможности реализованы за счет использования исходников Mirai, слитых в Сеть еще в 2016 году.

Анализ нового образца зловреда выявил сходство с вариантом Android.Pandora.10 (ранее Android.BackDoor.334), некогда найденным во вредоносном обновлении прошивки для ТВ-приставки MTX HTV BOX HTV3. Новобранца удалось обнаружить благодаря наличию сторонних объектов в файловой системе жертв:

  • /system/bin/pandoraspearrk
  • /system/bin/supervisord
  • /system/bin/s.conf
  • /system/xbin/busybox
  • /system/bin/curl

Первый содержал обфусцированный контент и на поверку оказался бэкдором с DDoS-функциями; впоследствии его занесли в базу как Android.Pandora.2. Файл supervisord представляет собой сервис контроля статуса бэкдора.

Легитимные busybox и curl обеспечивают сетевые функции и работу с файловой системой. Файл rootsudaemon.sh запускает службы daemonsu (обладает root-привилегиями) и supervisord (с передачей параметров из s.conf).

В зараженной системе было также замечено изменение некоторых сервисов: скрипт-установщик Pandora добавил в соответствующие sh-файлы строку, чтобы обеспечить зловреду постоянное присутствие в системе:

 

Другим способом распространения Android.Pandora, по данным экспертов, является раздача зараженных приложений с сайтов для нелегального стриминга фильмов и сериалов. Такой сюрприз зачастую можно встретить на испаноязычных ресурсах.

 

Исследователи также отметили, что данное семейство троянов в первую очередь нацелено на устройства на базе Android TV нижнего ценового сегмента. В частности, оно составляет угрозу для владельцев таких приставок, как Tanix TX6 TV Box, MX10 Pro 6K, H96 MAX X3 и т. п.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники плодят клоны сайтов OpenAI и Sora 2 для кражи учетных данных
Татьяна Никитина 14 Октября 2025 - 16:28
ФишингМошенничествоОнлайн-мошенничество Домашние пользователи
Мошенники плодят клоны сайтов OpenAI и Sora 2 для кражи учетных данных

Эксперты Palo Alto Networks выявили новую фишинговую кампанию, нацеленную на сбор учеток пользователей продуктов OpenAI. Созданные злоумышленниками сайты-ловушки имитируют в основном недавно запущенный ИИ-сервис Sora 2.

Пользуясь тем, что новый видеогенератор доступен пока лишь в США и Канаде, мошенники переводят содержимое своих клонов на разные языки, предлагая опробовать Sora 2 в обмен на участие в онлайн-опросе, розыгрыше призов или аукционе криптовалютных токенов, приуроченном к знаменательному событию.

На настоящий момент исследователи обнаружили (.TXT) 14 поддельных доменов, зарегистрированных в рамках текущей кампании.

Одна из таких фальшивок предлагала четыре варианта подписки на Sora 2. Ее создатели мастерски скопировали дизайн официального портала OpenAI, однако подлог выдали метаданные на китайском языке.

При выборе плана подписки происходит редирект на фейковую форму входа с полями для ввода имейл и пароля.

 

Для охвата большей аудитории злоумышленники создают клоны и на других языках, в том числе на русском. Переводы при этом, по словам экспертов, выполнены безукоризненно.

 

После кражи учеток жертве могут предложить заполнить анкету, подписаться на платные услуги либо приобрести мифические токены SORA2 и $SORA2 — якобы не облагаемые налогом и с автоматической ликвидностью.

 

После запуска Sora 2 фейки объявились и в App Store. Почти все они предлагали платные подписки или покупки внутри приложения. К счастью, эти фальшивки быстро удалили с прилавка.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Уязвимость MadeYouReset в HTTP/2 позволяет обойти защиту и вызвать DoS
Новость
Уязвимость MadeYouReset в HTTP/2 позволяет обойти защиту и в...
Рынок облаков в РФ вырастет на 35–40%, Private Cloud — на 10–15%
Новость
Рынок облаков в РФ вырастет на 35–40%, Private Cloud — на 10...
В Google Messages появилось распознавание обнажёнки в видео
Новость
В Google Messages появилось распознавание обнажёнки в видео

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.