Ботнет Katana захватывает дешёвые приставки Android TV и вычищает с них конкурентов
Исследователи Nokia Deepfield Emergency Response зафиксировали новую волну атак на дешёвые приставки Android TV. В центре внимания оказался ботнет Katana — продвинутый вариант известного Mirai, который не только массово заражает устройства, но и целенаправленно удаляет с них конкурирующие вредоносные программы, чтобы получить полный контроль над ресурсами.
Главная цель Katana — недорогие безымянные Android TV Box на базе Android Open Source Project. Такие приставки обычно лишены сертификации Google, Google Play Protect и базовых механизмов защиты, что делает их лёгкой добычей. Злоумышленники покупают доступ к резидентским прокси, попадают во внутренние домашние сети и атакуют устройства через незащищённый интерфейс Android Debug Bridge, обходясь без сложных эксплойтов.
После первоначального взлома начинается борьба за уже инфицированное «железо». Katana использует встроенные механизмы «убийства» чужих ботов и меняет настройки ADB-порта, чтобы отрезать других операторов ботнетов от захваченной приставки. Для владельцев устройств атака зачастую остаётся незаметной: приставка продолжает работать, но её вычислительные ресурсы и канал связи используются в составе ботсети.
От классических реализаций Mirai Katana отличается более глубокой интеграцией в систему. Вместо работы только в пространстве пользователя он собирает собственный руткит ядра прямо на заражённом устройстве. Для этого ботнет использует компилятор TinyCC и компилирует модуль под конкретную версию ядра на хосте, что избавляет операторов от необходимости поддерживать множество готовых бинарников и усложняет обнаружение вредоносного кода стандартными средствами безопасности.
При этом сеть Katana по-прежнему опирается на проверенные временем сетевые техники. Botnet генерирует сырые пакеты с опцией IP_HDRINCL для подмены исходных IP-адресов, но все его атакующие механизмы работают только по IPv4. По оценке специалистов, история с Katana демонстрирует, что несертифицированные Android TV-приставки с открытым ADB-портом остаются одним из наиболее уязвимых классов домашних устройств и требуют хотя бы базовой защиты: смены стандартных настроек, закрытия отладочных интерфейсов и изоляции в локальной сети.
