Une nouvelle variante du botnet de malware Mirai a été repérée infectant les décodeurs Android TV bon marché utilisés par des millions de personnes pour le streaming multimédia.
Selon l’équipe antivirus de Dr. Web, le cheval de Troie actuel est une nouvelle version de la porte dérobée « Pandora », apparue pour la première fois en 2015.
Les principales cibles de cette campagne sont les boîtiers Android TV à faible coût tels que Tanix TX6 TV Box, MX10 Pro 6K et H96 MAX X3, dotés de processeurs quadricœurs capables de lancer de puissantes attaques DDoS, même dans de petits essaims.
Malware dans la boîte
Dr. Web signale que le malware arrive sur les appareils soit via une mise à jour de micrologiciel malveillant signée avec des clés de test accessibles au public, soit distribué via des applications malveillantes sur des domaines ciblant les utilisateurs intéressés par du contenu piraté.
Dans le premier cas, ces mises à jour du micrologiciel sont soit installées par les revendeurs des appareils, soit les utilisateurs sont amenés à les télécharger à partir de sites Web qui promettent un streaming multimédia sans restriction ou une meilleure compatibilité avec une gamme plus large d’applications.
Le service malveillant se trouve dans « boot.img », qui contient les composants du noyau et du disque virtuel chargés lors du démarrage du système Android, il s’agit donc d’un excellent mécanisme de persistance.
Le deuxième canal de distribution est constitué d’applications de contenu piraté qui promettent un accès gratuit ou à faible coût à des collections d’émissions de télévision et de films protégés par le droit d’auteur.
Dr. Web donne des exemples d’applications Android qui ont infecté des appareils avec cette nouvelle variante du malware Mirai.
Dans ce cas, la persistance est obtenue lors du premier lancement des applications malveillantes, qui démarrent « GoMediaService » en arrière-plan à l’insu de l’utilisateur et le configurent pour qu’il démarre automatiquement au démarrage de l’appareil.
Ce service appelle le programme « gomediad.so », qui décompresse plusieurs fichiers, y compris un interpréteur de ligne de commande qui s’exécute avec des privilèges élevés (« Tool.AppProcessShell.1 ») et un programme d’installation pour la porte dérobée Pandora (« .tmp.sh »).
Une fois active, la porte dérobée communique avec le serveur C2, remplace le fichier HOSTS, se met à jour, puis passe en mode veille, en attendant les commandes entrantes de ses opérateurs.
Dr. Web rapporte que le malware peut effectuer des attaques DDoS sur les protocoles TCP et UDP, comme générer des requêtes d’inondation SYN, ICMP et DNS, ouvrir un shell inversé, monter des partitions système pour modification, etc.
Appareils intrinsèquement risqués
Les boîtiers Android TV économiques suivent souvent un parcours trouble du fabricant au consommateur, laissant l’utilisateur final dans l’ignorance de leurs origines, des modifications potentielles du micrologiciel et des différentes mains par lesquelles ils sont passés.
Même pour les consommateurs prudents qui conservent la ROM d’origine et sont sélectifs quant aux installations d’applications, il existe un risque persistant que les appareils arrivent avec des logiciels malveillants préchargés.
Cela dit, il serait conseillé d’opter pour des appareils de streaming de marques de confiance telles que Google Chromecast, Apple TV, NVIDIA Shield, Amazon Fire TV et Roku Stick.