Команда Nokia Deepfield виявила нову масштабну кампанію із зараження бюджетних телевізійних приставок на Android TV. За даними дослідників, ботнет Katana — вдосконалений варіант шкідливого програмного забезпечення сімейства Mirai — контролює щонайменше 30 тисяч пристроїв і здатний генерувати DDoS-трафік потужністю до 150 Гбіт/с.
Головна мета зловмисників — недорогі безіменні TV-бокси на Android TV, що працюють на базі Android Open Source Project (AOSP). Йдеться не про пристрої, сертифіковані компанією Google, а про бюджетні бокси без офіційної сертифікації й Google Play Protect — саме це робить їх зручною мішенню. Оператори ботнету орендують доступ до домашніх мереж через резидентні проксі-сервіси, відшукують приставки з відкритим інтерфейсом Android Debug Bridge (ADB) та захоплюють пристрої без жодного складного експлойта. Через незахищений ADB на пристрій потрапляє APK-файл або виконуваний ELF-бінарник, після чого бот блокує порт 5555, змінює параметри віддаленого доступу й позбавляє власника контролю над приставкою.
З технічного погляду Katana суттєво відрізняється від типових представників родини Mirai. Більшість IoT-ботнетів працює у просторі користувача, натомість Katana компілює власний руткіт безпосередньо на зараженому пристрої. Для цього шкідливий APK містить вихідний код, компілятор TinyCC і завантажувачі для різних апаратних архітектур.
Після запуску ботнет збирає модуль ядра під конкретну версію прошивки на тому самому хості — такий підхід усуває потребу заздалегідь готувати окремі модулі під десятки різних конфігурацій. Зібраний руткіт приховує процеси та файли, захищає бота від видалення й унеможливлює завершення процесу через системний сигнал. Втім, цей захист спрацьовує не завжди — ботнети-конкуренти вже навчилися витісняти Katana з частини приставок. Вбудованого сканера чи механізму добору паролів у Katana немає — поширення відбувається винятково через зовнішні ADB-скрипти.
Підписуйтесь на Mediasat у Telegram: тут найцікавіші новини ТБ та телекому
Попри технічну витонченість, ботнет спирається на застарілі мережеві підходи. Зокрема, Katana використовує необроблені пакети з IP_HDRINCL для підміни вихідної IP-адреси, проте всі атакувальні механізми працюють лише за протоколом IPv4. В арсеналі ботнету — 11 методів розподілених атак на відмову в обслуговуванні (DDoS), серед яких атаки на сервери FiveM, а також SSH-, MySQL-, SMTP-, IRC-, FTP-, LDAP-, TeamSpeak 3- та HTTP-сервіси.
Окремої уваги заслуговує боротьба між ботнетами за контроль над обмеженим парком уразливих приставок. Katana діє особливо агресивно — знищує чужих ботів і перекриває конкурентам доступ до вже захоплених пристроїв, змінюючи налаштування ADB-порту. Власники приставок фактично усунені від цього протистояння: їхні пристрої стають полем бою між кількома угрупованнями.
Жером Мейер з Nokia Deepfield зазначив, що Katana — черговий приклад нової економіки ботнетів для Android TV, де зловмисники орендують інфраструктуру замість розроблення власних вразливостей. Дослідники також звернули увагу на ознаки участі штучного інтелекту у розробці шкідливого коду — на це вказують невиправдано довгі списки блокованих утиліт з елементами, безглуздими для Android TV (зокрема, emacs), а також шаблонні набори мережевих команд. Водночас архітектура командного сервера (C2), механізм закріплення та компіляція модуля ядра свідчать про те, що за Katana стоїть і ручне доопрацювання коду, а не лише автоматична генерація.
Katana — не єдиний ботнет, що полює на побутові пристрої. Раніше ми повідомляли, що фахівці підрозділу Black Lotus Labs компанії Lumen Technologies виявили ботнет із понад 14 тисяч скомпрометованих пристроїв — здебільшого роутерів Asus. Шкідливе ПЗ KadNap, на відміну від Katana, вирізняється стійкістю до традиційних методів виявлення та нейтралізації.
