Malware Mirai: TV box Android low cost a rischio attacchi DDoS

Grazie al lavoro del team di Dr. Web, è stato possibile individuare una nuova e pericolosa variante del malware Mirai.

L’agente malevolo in questione, protagonista già di diverse campagne malevoli in passato, sembra aver preso di mira i TV box Android low cost, dispositivi molto diffusi in tutto il mondo per lo streaming multimediale. A quanto pare, in questo contesto è coinvolta anche la backdoor Pandora, un altro nome ben noto agli esperti, visto che è attiva dall’ormai lontano 2015.

Secondo gli esperti, tra i modelli presi di mira figurano:

• Tanix TX6 TV Box
• MX10 Pro 6K
• H96 MAX X3

e altri simili.

Attraverso Mirai, questi device dotati di processori quad-core, diventano le piattaforme ideali per lanciare attacchi DDoS.

TV box Android low cost: come funziona la campagna del malware Mirai

Dr. Web riferisce che il malware raggiunge i dispositivi tramite un aggiornamento firmware dannoso proposto agli utenti interessati a contenuti piratati.

Il servizio dannoso si trova in boot.img, che contiene i componenti del kernel e del ramdisk caricati durante l’avvio del sistema Android, quindi si tratta di un eccellente modo per garantire la persistenza dell’agente malevolo.

In altri casi, il canale di distribuzione sono le app di contenuti piratati che promettono l’accesso a raccolte di programmi TV e film protetti da copyright gratuitamente o a un prezzo basso.

A prescindere dai vettori scelti, una volta attiva, la backdoor comunica con il server C2, sostituisce il file HOSTS, si aggiorna e poi entra in modalità standby, in attesa di comandi in arrivo dai suoi operatori.

Dr. Web segnala che il malware può eseguire attacchi DDoS sui protocolli TCP e UDP, come generare richieste SYN, ICMP e DNS Flood, nonché aprire una shell inversa, montare partizioni di sistema per la modifica e altre azioni.

C’è da dire che i TV box Android low cost si sono spesso rivelate pericolose per gli utenti. La loro origine poco chiara, la possibilità che gli stessi siano stati manipolati prima di raggiungere il negozio/magazzino e altri aspetti poco limpidi sono una consuetudine per questi prodotti.

Anche per i consumatori più cauti che mantengono la ROM originale e sono selettivi riguardo all’installazione delle app, esiste il rischio che già all’acquisto l’hardware sia compromesso.

Proprio per questo motivo, quando possibile, è consigliabile optare per dispositivi di streaming di marchi affidabili come Google Chromecast, Apple TV, NVIDIA Shield, Amazon Fire TV e simili.