Команда Nokia Deepfield обнаружила новую масштабную кампанию по заражению недорогих телевизионных приставок на Android TV. По данным исследователей, ботнет Katana — усовершенствованный вариант вредоносного программного обеспечения семейства Mirai — контролирует не менее 30 тысяч устройств и способен генерировать DDoS-трафик мощностью до 150 Гбит/с.
Главная цель злоумышленников — недорогие безымянные ТВ-бокс на Android TV, работающие на базе Android Open Source Project (AOSP). Речь идет не об устройствах, сертифицированных компанией Google, а о бюджетных боксах без официальной сертификации и Google Play Protect — именно это делает их удобной мишенью. Операторы ботнета арендуют доступ к домашним сетям через резидентные прокси-сервисы, находят приставки с открытым интерфейсом Android Debug Bridge (ADB) и захватывают устройства без каких-либо сложных эксплойтов. Через незащищенный ADB на устройство попадает APK-файл или исполняемый ELF-бинарник, после чего бот блокирует порт 5555, изменяет параметры удаленного доступа и лишает владельца контроля над приставкой.
С технической точки зрения Katana существенно отличается от типичных представителей семейства Mirai. Большинство IoT-ботнетов работает в пользовательском пространстве, тогда как Katana компилирует собственный руткит непосредственно на заражённом устройстве. Для этого вредоносный APK содержит исходный код, компилятор TinyCC и загрузчики для различных аппаратных архитектур.
После запуска ботнет собирает модуль ядра под конкретную версию прошивки на том же хосте — такой подход избавляет от необходимости заранее готовить отдельные модули под десятки различных конфигураций. Собранный руткит скрывает процессы и файлы, защищает бота от удаления и делает невозможным завершение процесса с помощью системного сигнала. Впрочем, эта защита срабатывает не всегда — ботнеты-конкуренты уже научились вытеснять Katana с части приставок. Встроенного сканера или механизма подбора паролей в Katana нет — распространение происходит исключительно через внешние ADB-скрипты.
Подписывайтесь на Mediasat в Telegram: здесь самые интересные новости из мира технологий
Несмотря на техническую изощрённость, ботнет опирается на устаревшие сетевые подходы. В частности, Katana использует необработанные пакеты с IP_HDRINCL для подмены исходного IP-адреса, однако все механизмы атаки работают только по протоколу IPv4. В арсенале ботнета — 11 методов распределенных атак типа «отказ в обслуживании» (DDoS), среди которых атаки на серверы FiveM, а также SSH-, MySQL-, SMTP-, IRC-, FTP-, LDAP-, TeamSpeak 3- и HTTP-сервисы.
Особого внимания заслуживает борьба между ботнетами за контроль над ограниченным парком уязвимых приставок. Katana действует особенно агрессивно — уничтожает чужие боты и перекрывает конкурентам доступ к уже захваченным устройствам, изменяя настройки ADB-порта. Владельцы приставок фактически отстранены от этого противостояния: их устройства становятся полем битвы между несколькими группировками.
Жером Мейер из Nokia Deepfield отметил, что Katana — очередной пример новой экономики ботнетов для Android TV, где злоумышленники арендуют инфраструктуру вместо разработки собственных уязвимостей. Исследователи также обратили внимание на признаки участия искусственного интеллекта в разработке вредоносного кода — на это указывают неоправданно длинные списки блокируемых утилит с элементами, бессмысленными для Android TV (в частности, emacs), а также шаблонные наборы сетевых команд. В то же время архитектура командного сервера (C2), механизм закрепления и компиляция модуля ядра свидетельствуют о том, что за Katana стоит и ручная доработка кода, а не только автоматическая генерация.
Katana — не единственный ботнет, охотящийся на бытовые устройства. Ранее мы сообщали, что специалисты подразделения Black Lotus Labs компании Lumen Technologies обнаружили ботнет из более чем 14 тысяч скомпрометированных устройств — в основном роутеров Asus. Вредоносное ПО KadNap, в отличие от Katana, отличается устойчивостью к традиционным методам обнаружения и нейтрализации.
