La variante de malware Mirai infecta millones de cajas de TV Android económicas en China

13/09/2023

Ambos en Enero Y mayo 2023, se ha revelado información preocupante sobre los populares televisores económicos chinos que funcionan con el sistema móvil Android (AOSP). Se descubrió que estos dispositivos estaban precargados con malware y ahora ha surgido una nueva variante de la popular botnet de malware Mirai, que representa una amenaza significativa. Los infectados son cajas de TV Android de bajo coste como Caja de TV Tanix TX6MX10 Pro 6K y H96 MAX X3, con procesadores de cuatro núcleos capaces de lanzar potentes ataques DDoS.

Malware Mirai en cajas de TV Android chinas económicas Tanix TX6, H96 MAX X3

Nueva variante de la botnet de malware Mirai llega a las cajas de TV Android chinas de bajo costo – Detalles

El equipo antivirus de Dr. Web descubrió recientemente esta nueva botnet Mirai (el troyano actual es una nueva versión de la puerta trasera "Pandora" que apareció por primera vez en 2015), así como reportado por BleepingComputer. Sus principales objetivos son las cajas de TV Android de bajo coste vendidas a través de minoristas grandes y pequeños. Estas cajas, utilizadas activamente por millones de usuarios, tienen procesadores de cuatro núcleos capaces de lanzar potentes ataques DDoS incluso con enjambres de tamaño relativamente pequeño.

La variante de malware Mirai se infiltra en estos dispositivos a través de dos rutas principales, según el Dr. Web:

  1. Precargado por los fabricantes – En este escenario, el malware se incluye en actualizaciones de firmware, ya sea por revendedores de dispositivos o mediante tácticas engañosas en las que se engaña a los usuarios para que descarguen estas actualizaciones de sitios web que prometen distribución multimedia sin restricciones o una mejor compatibilidad de aplicaciones.

  2. Aplicaciones maliciosas para contenido pirateado – El segundo canal de distribución involucra aplicaciones maliciosas que afirman brindar acceso gratuito o de bajo costo a programas de televisión y películas protegidos por derechos de autor. Estas aplicaciones atraen a usuarios que buscan acceder a contenido premium sin la autorización adecuada.

El malware, una vez en los dispositivos comprometidos, persiste en el archivo “boot.img”, que contiene componentes cargados durante el inicio del sistema Android, lo que garantiza su persistencia. Este mecanismo oculto permite que el malware funcione discretamente en segundo plano.

En el caso de aplicaciones maliciosas, el malware establece persistencia cuando la aplicación se inicia por primera vez. Inicia el "GoMediaService", que se ejecuta subrepticiamente en segundo plano y se inicia automáticamente cuando se inicia el dispositivo. Este servicio activa el programa "gomediad.so", que descomprime varios archivos, incluido un shell de línea de comandos elevado ("Tool.AppProcessShell.1") y un instalador para la puerta trasera de Pandora ("tmp.sh").

Una vez activa, la puerta trasera de Pandora establece comunicación con su servidor de comando y control (C2), reemplaza el archivo HOSTS, se actualiza y luego entra en modo de suspensión, esperando comandos de sus operadores.

La variante Mirai es una amenaza poderosa, capaz de lanzar ataques DDoS a través de los protocolos TCP y UDP. Puede generar consultas de inundación SYN, ICMP y DNS, abrir shell inverso, montar particiones del sistema para modificarlas y realizar otras actividades maliciosas.

Estas cajas de TV Android económicas a menudo tienen un recorrido incierto desde el fabricante hasta el usuario final, lo que dificulta a los consumidores determinar sus orígenes, cambios de firmware y exposición potencial a malware precargado. Incluso para los usuarios cautelosos que conservan la ROM original y tienen cuidado al instalar aplicaciones, sigue existiendo un riesgo persistente de que los dispositivos lleguen con malware precargado.

Ver también: Homatics Dongle G 4K es un dongle de transmisión de Google TV 4K con puerto RJ45

Es más seguro utilizar dispositivos certificados de “grandes jugadores”

Es importante tener en cuenta que estas cajas de Android TV no funcionan con Android TV (o Google TV) certificado por Google; más bien, funcionan en dispositivos móviles con Android, específicamente en el Proyecto de código abierto de Android (AOSP). Esta distinción permite a los fabricantes modificar el software y personalizar la interfaz de usuario, a diferencia de las licencias oficiales. Android TV y Google TV casillas que se adhieren a la interfaz de usuario requerida por Google.

Ante estas preocupaciones de seguridad, es recomendable optar por dispositivos de streaming de marcas confiables como Google Chromecast, Apple TV, NVIDIA Shield, Amazon Fire TV o Roku Stick, conocidas por sus robustas medidas de seguridad y su compromiso con la seguridad del usuario. .

Si quieres conocer otros artículos parecidos a La variante de malware Mirai infecta millones de cajas de TV Android económicas en China puedes visitar la categoría Noticias Android TV Box.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.