Những Tivi bị xâm nhập sẽ trở thành một phần của mạng botnet, được sử dụng để thực hiện các cuộc tấn công từ chối dịch vụ (DDoS).
Thông tin từ các nhà nghiên cứu cho rằng việc xâm nhập vào hệ thống có thể xảy ra khi cập nhật firmware bị tấn công hoặc khi người dùng cài đặt các ứng dụng phát trực tuyến không phép xem phim và chương trình truyền hình. Họ cho biết, có khả năng một bản cập nhật có chứa phần mềm độc hại được phân phối công khai thông qua các trang web của bên thứ ba.
Bằng cách sử dụng tệp boot.img, phần mềm độc hại có thể tồn tại trên hệ thống sau mỗi lần khởi động lại.
Danh sách các ứng dụng có chứa phần mềm độc hại:
- Latino VOD (com.global.latinotvod)
- Tele Latino (com.spanish.latinomobile)
- APK UniTV (com.global.unitviptv)
- YouCine TV (com.world.youcinetv)
Khi người dùng thực hiện cài đặt ứng dụng, nó sẽ tự động khởi động dịch vụ "GoMediaService" ở chế độ nền. Sau đó, ứng dụng sẽ thực hiện việc giải nén một số tệp tin gồm trình thông dịch và trình cài đặt Pandora.
Pandora được tạo ra với mục đích kết nối với một máy chủ từ xa và thay thế các tệp trên máy chủ hệ thống bằng bản sao giả mạo. Nó cũng có thể nhận các chỉ thị để thực hiện cuộc tấn công DDoS thông qua giao thức TCP và UDP.
Mục tiêu chủ yếu của chiến dịch là các hộp Android giá rẻ như Tanix TX6 TV Box, MX10 Pro 6K và H96 MAX X3 được trang bị bộ xử lý lõi tứ của Allwinner và Amlogic.
Để giảm thiểu rủi ro bị tấn công, người dùng nên thường xuyên cập nhật firmware cho TV và Android Box lên phiên bản mới nhất thông qua các nguồn đáng tin cậy.
