Những Tivi Android bị xâm nhập sẽ trở thành một phần của mạng botnet, được sử dụng để thực hiện các cuộc tấn công từ chối dịch vụ (DDoS).
Các nhà nghiên cứu cho biết sự xâm phạm có thể xảy ra trong quá trình cập nhật firmware độc hại, hoặc khi người dùng cài đặt các ứng dụng phát trực tuyến phim và chương trình truyền hình vi phạm bản quyền. “Có khả năng bản cập nhật độc hại được cung cấp công khai thông qua các trang web của bên thứ ba”.
 |
| Các ứng dụng phát nội dung trực tuyến vi phạm bản quyền có chứa phần mềm độc hại. Ảnh: Doctor Web |
Thông qua file boot.img, phần mềm độc hại có thể tồn tại sau những lần khởi động lại hệ thống.
Danh sách các ứng dụng có chứa phần mềm độc hại:
- Latino VOD (com.global.latinotvod)
- Tele Latino (com.spanish.latinomobile)
- APK UniTV (com.global.unitviptv)
- YouCine TV (com.world.youcinetv)
Sau khi người dùng cài đặt ứng dụng, nó sẽ khởi chạy dịch vụ "GoMediaService" ở chế độ nền, sau đó giải nén một số tệp, bao gồm trình thông dịch và trình cài đặt Pandora.
Pandora được thiết kế để liên lạc với một máy chủ từ xa, thay thế tệp máy chủ trên hệ thống bằng một biến thể giả mạo và nhận các lệnh bổ sung để thực hiện các cuộc tấn công DDoS thông qua giao thức TCP và UDP.
Mục tiêu chính của chiến dịch là các Android Box giá rẻ như Tanix TX6 TV Box, MX10 Pro 6K và H96 MAX X3, đi kèm bộ xử lý lõi tứ của Allwinner và Amlogic.
 |
Để giảm thiểu bị tấn công, người dùng nên cập nhật firmware TV và Android Box lên phiên bản mới nhất thông qua các nguồn đáng tin cậy.