Pandoraspear napada pametne televizore

Pandoraspear je zlonamjerni softver koji se širi preko besplatnih internet stranica za reprodukovanje u realnom vremenu (eng. streaming sites), prvenstveno ciljajući na pametne televizore (eng. smart TVs), stoji u izvještaju sigurnosne kompanije WatchGuard. Nesvjesni korisnici posjećuju ove internet stranice na svojim pametnim telefonima, što ih navodi da preuzimaju aplikacije za svoje televizore. Jednom kada se internet stranica učita na pametni TV, on se zarazi Pandoraspear zlonamjernim softverom i dodaje se u Bigpanzi botnet.

Pandoraspear

Pandoraspear napada pametne televizore; Source: Bing Image Creator

PANDORASPEAR

Pandoraspear je zlonamjerni softver koji se razvija od 2015. godine, a najnovija verzija je v10. Tokom godina, uhvaćeno je osam različitih verzija ovog zlonamjernog softvera, uključujući v1, v2, v4, v6 i do v10. Poređenje ovih verzija otkriva da njihova glavna logika izvršenja ostaje konzistentna, ali postoje varijacije u aspektima kao što su pakovanje ljuske, upotreba alat koji primjenjuje tehnike zamagljivanja – OLLVM za kompilaciju i opseg podržanih komandi.

Pandoraspear koristi tehniku protiv otklanjanja grešaka da bi utvrdio da li se vrši analiza. U ranim fazama istraživanja otkrivene su verzije 1 i 2 bez upotrebe OLLVM alata, što je u velikoj mjeri olakšalo sigurnosnim istraživačima dalje analize ovog zlonamjernog softvera, koji se od tada kontinuirano razvija, a ažuriranja i modifikacije se redovno vrše.

 

Infekcija uređaja

Metode infekcije uređaja koje Pandoraspear koristi uključuju piratske filmske i TV aplikacije za Android, generički OTA upravljački softver (eng. firmware) sa pozadinskim pristupom (eng. backdoor) za Android i “SmartUpTool” upravljački softver sa pozadinskim pristupom za eCos:

Za Android platformu, jedan od načina infekcije uključuje širenje putem piratskih filmskih i TV aplikacija dostupne u prodavnicama aplikacija trećih strana ili na nezvaničnim prodavnicama aplikacija. Ove aplikacije su često prikrivene kao legitiman softver, ali sadrže zlonamjerni kôd koji preuzima i instalira dodatne komponente. Sigurnosni istraživači kompanije Dr.Web su proveli detaljnu analizu ove metode koja je pokazala da nakon instalacije aplikacije i njenog pokretanja, GoMediaService se tajno pokreće, koji zatim pokreće program gomediad.so. Ova verzija programa izdvaja datoteke uključujući i tumač komandne linije sa povišenim privilegijama. Zlonamjerni programi mogu da komuniciraju sa ovim komandnim okruženjem preko otvorenog porta 4521.

Jednom instaliran i aktiviran, backdoor dobija adresu kontrolnog servera iz parametara komandne linije ili iz Blowfish šifrovane datoteke. Nakon povezivanja sa serverom, preuzima hosts datoteku da zamjeni originalnu sistemsku datoteku, pokreće samoažuriranje i priprema se za komande. Napadači mogu komandovati zaraženim uređajima da izvrše različite radnje kao što su pokretanje i zaustavljanje DDoS napada koristeći TCP i UDP protokole, SYN, ICMP i DNS poplave, otvaranje obrnutog komandnog okruženja i montiranje sistemskih particija Android TV u režimu čitanja/pisanja. Ove mogućnosti potiču od integracije Linux.Mirai kôda, koji se koristi od 2016. godine za pokretanje DDoS napada.

Drugi metod infekcije na Android uređajima koristi generički OTA upravljački softver sa pozadinskim pristupom. Ovo je otkriveno tokom praćenja komandi za Pandoraspear, otkrivajući uputstva za preuzimanje i izvršavanje skripti koje sadrže “stb-download/tool/” isječak kôda. Praćenje ove karakteristike dovelo je do otkrivanja 22 sumnjiva domena prema jedinstvenom obrascu, raspoređenih u 7 APK datoteka koji pripadaju u dva različita paketa. Ove APK datoteke uglavnom preuzimaju i nadograđuju upravljački softver na osnovu različitih modela.

Treći metod zaraze cilja na eCos platforme preko “SmartUpTool” upravljačkog softvera sa pozadinskim ulazom. Zlonamjerni akteri distribuiraju upravljački softver sa pozadinskim ulazom preko raznih STB, DVB i IPTV foruma za infekciju uređaja koji koriste Android ili eCos sisteme.

 

BIGPANZI GRUPA

Bigpanzi grupa je sajber kriminalna organizacija koja je aktivna najmanje od 2015. godine, a postala je poznata u januaru 2024. kada su sigurnosni istraživači otkrili da razvijaju Pandoraspear botnet. Ovaj botnet prvenstveno inficira uređaje koji koriste Android ili eCos sisteme preko upravljačkih softvera sa pozadinskim pristupom koji se distribuiraju na različitim STB, DVB i IPTV forumima, što korisnicima otežava razlikovanje između bezbjednog i zlonamjernog sadržaja.

Bigpanzi koristi i binarne i vremenske kontramjere kako bi izbjegao detekciju od strane bezbjednosnih sistema. Ove strategije su im omogućile da ostanu ispod radara duži period. Bigpanzi operativna taktika je varljivo jednostavna, ali veoma efikasna. Oni iskorišćavaju povjerenje korisnika tako što distribuiraju svoj zlonamjerni softver preko naizgled legitimnih kanala i internet lokacija. Jednom kada korisnik nesvjesno preuzme zaraženi upravljački softver na svoj uređaj, on se automatski instalira tokom procesa ažuriranja, što otežava otkrivanje čak i najpažljivijim korisnicima.

Korisnici koji nesvjesno preuzimaju aplikacije sa kompromitovanih internet lokacija na svoje pametne televizore, inficiraju svoje uređaje Pandoraspear zlonamjernim softverom. Ovaj zlonamjerni softver dodaje uređaj na botnet, omogućavajući mu da se koristi za razne zlonamjerne aktivnosti kao što su DDoS napadi. Na svom vrhuncu, botnet je navodno kontrolisao preko 170.000 kompromitovanih uređaja; međutim, neki istraživači procjenjuju da bi stvarni broj mogao biti mnogo veći, sa do 1,3 miliona jedinstvenih IP adresa otkrivenih od avgusta 2023. godine.

Grupa je povezana sa raznim napadima, uključujući korištenje kompromitovanih uređaja u Ujedinjenim Arapskim Emiratima za prikazivanje slika sukoba između Izraela i Hamasa umjesto predviđenog sadržaja. Ovaj incident naglašava potencijalnu opasnost koju predstavljaju botnet kao što je Pandoraspear, koji se mogu koristiti za širok spektar zlonamjernih aktivnosti osim samo pokretnja DDoS napada.

 

ZAKLJUČAK

Pandoraspear je sofisticirani zlonamjerni softver koji aktivno cilja uređaje koji pokreću Android ili eCos sisteme preko raznih STB, DVB i IPTV foruma od najmanje 2015. godine. Grupa koja stoji iza ovog zlonamjernog softvera, Bigpanzi, koristi širok spektar kontramjera da izbjegne otkrivanje i analizu, što ga čini značajnom prijetnjom sajber bezbednosti. Zlonamjerni akteri koriste varijacije u ovom zlonamjernom softveru, prvenstveno u aspektima kao što su pakovanje komandnog okruženja, upotreba OLLVM alata za kompilaciju i opseg podržanih komandi.

Botnet čvorovi su pretežno raspoređeni širom Brazila, sa preko 1,3 miliona različitih IP adresa identifikovanih od avgusta. Međutim, vjeruje se da stvarna veličina može biti čak i veća zbog ograničenja posmatranja i specifičnosti uređaja. Uprkos ovim izazovima, postoje metode za mjerenje i upravljanje velikim botnet mrežama kao što je Pandoraspear praćenjem obrazaca saobraćaja, analizom ponašanja mreže i praćenjem komandne i kontrolne komunikacije.

Putem obrnutog inženjeringa mogu se otkriti metode infekcije, ciljani uređaji, operativne taktike i prostranstvo ove ogromne mreže sajber kriminala. Međutim, zbog njegove prirode koja se stalno mijenja, ostanak ispred Bigpanzi grupe zahteva kontinuirano praćenje i prilagođavanje. Zajednički napori između bezbjednosnih organizacija, agencija za sprovođenje zakona i tehnoloških kompanija mogu pomoći u narušavaju infrastrukture i ublažavanju uticaja ovakvih prijetnji na korisnike i mreže.

 

ZAŠTITA

Da bi se zaštitili od Pandoraspear zlonamjernog softvera koji posebno cilja poslovne pametne televizore, organizacije i korisnici treba da razmotre sljedeće mjere:

  1. Korisnici Android operativnog sistema treba da izbjegavaju instalaciju aplikacija iz nezvaničnih izvora i prodavnica aplikacija trećih strana i da se drže pouzdanih platformi kao što je Google Play prodavnica, koje primjenjuje procese pregleda aplikacija i bezbjednosne mjere. Iako ovo ne garantuje potpunu zaštitu, smanjuje rizik od preuzimanja zlonamjernih aplikacija,
  2. Korisnici trebaju prilikom preuzimanja aplikacije iz Google Play prodavnice trebaju obratiti pažnju na na recenzije korisnika (možda nisu dostupne u nezvaničnim prodavnicama). Ključno je biti svjestan da pozitivne kritike mogu biti lažne kako bi se povećao kredibilitet zlonamjernih aplikacija. Korisnici bi trebalo da se usredsrede na negativne kritike i pažljivo procjene zabrinutosti korisnika, jer mogu otkriti važne informacije o zlonamjernoj aplikaciji,
  3. Prije instalacije aplikacije, korisnici trebaju da dobro pogledaju politiku privatnosti koju će aplikacija primjenjivati. Takođe, tokom instalacije aplikacije veoma je važno obratiti pažnju na podatke i dozvole kojima aplikacija traži pristup i postaviti sebi pitanja da li su ti podaci i dozvole neophodni za funkcionisanje aplikacije,
  4. Biti oprezan prilikom pretraživanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadrže zlonamjerni softver koji može zaraziti uređaj prilikom otvaranja takvih stranica,
  5. Uvjeriti se da svi povezani uređaji, uključujući i pametne televizore, koriste najnoviji softver i bezbjednosne ispravke kako bi se ranjivosti svele na minimum,
  6. Koristiti zaštitni zid ili sistem za sprečavanje upada (eng. intrusion prevention system – IPS) za mrežnu bezbjednost, jer mogu pomoći u blokiranju poznatog zlonamjernog saobraćaja koji se odnosi na Pandoraspear,
  7. Primijeniti filtriranje sadržaja što će ograničiti pristup sumnjivim internet lokacijama i dozvoliti samo legitimne aplikacije na pametnim televizorima kako bi se smanjio rizik od infekcije,
  8. Uvjeriti se da svi povezani uređaji, uključujući pametne televizore, imaju jake, jedinstvene lozinke da bi se spriječio neovlašteni pristup,
  9. Redovno skeniranje mreže da bi se identifikovale sve potencijalne ranjivosti, uključujući one koje se odnose na uređaje kao što su pametni televizori,
  10. Podizati svest korisnika o rizicima povezanim sa IoT uređajima u poslovnom kontekstu i podstaknuti budnost pri korišćenju ovih uređaja u lične i profesionalne svrhe.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.