Los TV Boxes y sticks son cada vez más frecuentes como opción para convertir cualquier televisor en Smart TV o mantener actualizado uno que, aunque sea inteligente, queda rezagado en nuevas funcionalidades.

ESET advierte que esta avidez por ver la última serie fue la base para que un grupo de cibercriminales distribuya malware para Android TV Boxes mediante aplicaciones maliciosas y así provocar más de 2000 ataques de denegación de servicio.

“La búsqueda de ampliar el catálogo de películas y series lleva a algunas personas a no mirar con detenimiento qué aplicación están bajando, o qué página visitan. La distribución de esta botnet fue principalmente mediante las aplicaciones de streaming en sitios web como Tele Latino, You Cine y Magis TV, entre otras. Estas aplicaciones están disponibles no solo para Android Tv Boxes, sino también muchos otros dispositivos, entre ello, TV Sticks como los de Amazon o Xiaomi. Una vez infectados los dispositivos, los atacantes toman el control y los utilizan para orquestar ataques distribuidos de denegación de servicio (DDoS), es decir, usar cada uno de los miles de zombies que logra infectar para que estos envíen solicitudes dirigidas a un mismo destino y así inhabilitar los servidores de su objetivo.”, advierte Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Según se detalla en último ESET Threat Report, los dispositivos fueron blanco de un malware de tipo troyano emparentado con Mirai, una conocida botnet (red de equipos secuestrada por los atacantes que toman el control y pueden enviarle órdenes diversas, como enviar spam, robar datos o lanzar ataques DDoS). El malware es detectado por ESET como Android.Pandora, fue descrito por primera vez por septiembre 2023, por Dr. Web.

Su distribución principalmente fue mediante las aplicaciones de streaming en sitios web como Tele Latino, You Cine y Magis TV, entre otras. Estas aplicaciones están disponibles no solo para Android Tv Boxes, sino también muchos otros dispositivos, entre ello, TV Sticks como los de Amazon o Xiaomi. Otra forma detectada es mediante actualizaciones maliciosas de firmware que pueden estar preinstaladas por un revendedor, o que pueden ser instaladas por el usuario desprevenido.

Los ciberdelincuentes focalizaron su actividad en América Latina, según detalla el informe de ESET, y entre los países más atacados de la región se destaca a Brasil (20%), México (13%), y Perú (11%) como los principales objetivos. Se aprecia también que la muchas de las páginas engañosas están en español, lo cual puede indicar la direccionalidad del ataque.

Otras botnets Mirai

En el segundo semestre de 2023, las botnets basadas en Mirai, como Gafgyt y BotenaGo, y rastreadas por ESET, experimentaron una disminución del 59% en ataques, totalizando 7.5 millones de ataques. Estados Unidos, Alemania y el Reino Unido fueron los principales objetivos.

Aunque disminuyeron los ataques, la realidad es que los ejércitos -equipos afectados y al servicio de la botnet- basados en Mirai aumentaron un 58%, alcanzando más de 168,000 dispositivos, principalmente impulsado por un aumento del 164% en Egipto. En esos casos, Alemania, Estados Unidos y México enfrentaron el mayor porcentaje de ataques.