È noto che i box economici con Android TV non offrono la necessaria sicurezza. I ricercatori di Dr. Web hanno scoperto una variante della botnet Mirai su alcuni modelli molto popolari che sono stati utilizzati per effettuare attacchi DDoS (Distributed Denial of Service).

Pandora usa i box Android TV per attacchi DDoS

Su alcuni box economici, tra cui Tanix TX6 TV Box, MX10 Pro 6K e H96 MAX X3, gli esperti di Mr. Web hanno individuato Pandora, una variante di Mirai. Il malware è stato installato sui dispositivi tramite un aggiornamento del firmware o applicazioni che consentono lo streaming di contenuti video pirata.

Nel primo caso, il firmware è stato installato direttamente dal venditore del box o dagli stessi utenti che hanno trovato il firmware su alcuni siti. Il servizio che esegue la backdoor è nascosto nel file boot.img , quindi rimane persistente ad ogni riavvio del dispositivo.

Nel secondo caso, il malware è nascosto in app che permettono lo streaming pirata di film e serie TV. All’avvio delle app viene eseguito in background il servizio GoMediaService che chiama il programma gomediad.so . Quest’ultimo copia sul dispositivo l’installer di Pandora.

La backdoor comunica quindi con il server C2 (command and control), dal quale scarica un file HOSTS modificato che sostituisce l’originale. Effettua quindi un auto-aggiornamento e attende la ricezione dei comandi per avviare gli attacchi DDoS tramite richieste SYN, ICMP e DNS flood.

I box Android TV sono molto popolari proprio perché consentono lo streaming pirata, ma non offrono la sicurezza necessaria. Meglio acquistare dispositivi più affidabili, come Amazon Fire TV Stick, NVIDIA Shield e Apple TV.