В экосистеме вредоносных программ для телевизионных приставок на Android появился новый опасный игрок. Специалисты по информационной безопасности провели детальный разбор операции под кодовым названием Lorikazz, которая нацелена на устройства с открытым интерфейсом ADB (Android Debug Bridge). В отличие от многих других ботнетов, создающих из устройств армию для DDoS-атак, Lorikazz фокусируется на более изощрённой и скрытной монетизации: превращении заражённых приставок в узлы резидентских прокси-сетей (proxyware). Такие сети затем сдаются в аренду киберпреступникам для обхода блокировок, скрытия реального местоположения при мошенничестве или атаках на интернет-ресурсы.
Описание
Интересно происхождение названия Lorikazz. Оно было обнаружено в виде комментария в скриптах другого известного ботнета Jackskid, где команда злоумышленников инструктировала свои вредоносные программы удалять пакет "com.oreo.mcflurry" как конкурента. Теперь же аналитики выявили, что именно этот пакет является одним из вариантов вредоносного ПО Lorikazz, что говорит о жёсткой конкуренции в подпольном мире ботнетов для Android TV. Само исследование, посвящённое инфраструктуре загрузчика, внутреннему устройству APK-файлов и архитектуре командных серверов, является первым столь подробным анализом этой угрозы.
Технический анализ выявил значительное сходство Lorikazz с другим ботнетом - Kimwolf (также известным как AISURU). Обе операции используют схожие компоненты: логику разрешения имён через ENS (Ethereum Name Service, система доменных имён в блокчейне Ethereum), резервные командные серверы в сети Tor, возможности SOCKS5-прокси и сетевой стек с поддержкой HTTP/2. Это сходство настолько велико, что позволяет предположить либо работу одного и того же злоумышленника, либо заимствование и адаптацию кода Kimwolf новой группой, перепрофилировавшей его с DDoS-атак на создание прокси-сетей.
Механизм заражения стандартен для этой ниши: вредоносные скрипты доставляются через открытый и незащищённый ADB-порт. Однако у Lorikazz есть особенность - строгая проверка целостности. Перед установкой загруженный APK-файл проверяется по хешу SHA-256, что является мерой защиты собственной цепочки поставок от вмешательства конкурентов или исследователей. После установки вредоносное приложение предпринимает шаги для закрепления в системе: отключает оптимизацию батареи для своего пакета, регистрирует службы, запускающиеся при загрузке устройства, и разворачивает локальный SOCKS5-прокси на порту 9050 для связи с командным сервером через сеть Tor.
Аналитики выделили две основные архитектурные вариации вредоносного APK в рамках одной операции. Первый вариант, DexService, реализует логику взаимодействия с C2 ( командный сервер) на Java и связывается с заранее прописанным .onion-адресом в сети Tor. Второй вариант, SDKService, делегирует всю эту логику нативный ELF-бинар, маскирующийся под системную библиотеку "libandroid_runtime.so". Этот бинар содержит расширенный функционал, включая поддержку ENS и HTTP/2, и управляется службой-надзирателем, которая следит за его непрерывной работой. При этом обе вариации используют идентичный бинар Tor, замаскированный под "libdalvik_runtime.so" или "libtor.so".
Ключевым доказательством того, что целью является создание прокси-сети, а не DDoS-ботнета, служит список пакетов, которые скрипты Lorikazz принудительно удаляют с устройства. В него входят известные SDK для резидентских прокси (например, "com.abcproxy.proxysdk") и компоненты конкурирующих ботнетов, включая Snow. Это явная попытка монополизировать устройство для своих целей. Также исследователи обнаружили связь с пиратским IPTV-приложением TigerTV, раздаваемым с того же IP-адреса, что и загрузчик Lorikazz. Это указывает на возможный вектор социальной инженерии, когда пользователи, устанавливающие нелегальные приложения для просмотра контента, могут непреднамеренно заразить своё устройство.
Для специалистов по безопасности основными индикаторами компрометации являются признаки работы Tor-клиента на порту 9050 и необычные DNS-запросы, связанные с ENS, исходящие от телевизионных приставок или Android-боксов. Учитывая низкий уровень детектирования вредоносных APK в антивирусных базах на момент анализа, поведенческие методы мониторинга становятся критически важными. Владельцам же устройств рекомендуется в первую очередь отключать ADB-доступ из внешней сети, если такая функция не используется осознанно, и избегать установки ПО из непроверенных источников. Появление таких сложных ботнетов, как Lorikazz, подчёркивает, что телевизионные приставки давно перестали быть простыми потребительскими гаджетами и превратились в полноценные цели для киберпреступников, стремящихся получить контроль над вычислительными ресурсами и интернет-каналами тысяч устройств по всему миру.
Индикаторы компрометации
IPv4
- 185.244.104.206
- 195.154.103.239
- 46.33.11.154
Onion Domains
- mjsneyhl7gaik3dckdy3ss2vyfr6jfh4eteheu2i4bznt7sbh5zokiyd.onion
- rwbxbmflwm7andgmxeo3my7mqqs6najhou7o6f7xnxjsiuirzcnab4yd.onion
SHA256
- 024a427fc94e9bd34d96a447631dff75ae43a1421e174f6081aa5ad97f24fdde
- 1f29ad9ef32cea0d462fd3d74d7bf439757b6de28039ee7c3fcd75b122a03043
- 261305ccbee49fc67c13d275e5788fdc3db8b6a85ec99de16130be93130bcb19
- 4f288e33f1864326160f56e7cc8ff3c19a6f12a4526a90333e3332861ceb5f6b
- 5a9189bf7f420d5b6405e534d043e5485c733a8b4a6d21b4c7b9d3a6cd2532ac
- 8226f44581a8bd9f1e9119a56929b9df66d725265076b7d9cdd96e8b132d8427
- a40a1655c9ca864e2254e4db3624a91d6818db159195911e0a94ca652694b63d
- bad329aa83a44a3cad010b15ee1b03ac8479dfd1b29318f7c4c804e29b57aaa3
- bc877d871e342272ef65e4e8fd3fc5101e7447f51884705037ad67d8821d4ba1
- e1adf204d8d2c96885a7cdfc1befad23e6f1bee15940f2702cee34071822e197
- f07821e313c16cbbd82def45094a22c8d474164051bdbc7648d6869e012014b4
- f9830820262a2061c667713280ba6fa273eafb151cbf05a2fe5c52c15e477101
- fa72d7d9cd67de1f1312a8c200e04ce70fa5a7220b15d194526d45eeee0452c5
