В мире вредоносного ПО для устройств "умного дома" появился новый опасный игрок, демонстрирующий тревожную эволюцию угроз. Специалисты по кибербезопасности обнаружили ранее неизвестный ботнет под названием CECbot, который атакует недорогие телевизионные приставки на Android. В отличие от своих примитивных предшественников, этот ботнет использует продвинутые методы скрытного закрепления в системе, современную криптографию и, что самое необычное, технологию управления бытовой электроникой через HDMI (Consumer Electronics Control) для удаленного выключения подключенного телевизора. Кроме того, вредонос превращает скомпрометированную приставку в платформу для разведки, способную автоматически сканировать и картографировать всю домашнюю сеть жертвы.
Описание
По данным исследователей, CECbot является операционным преемником ботнета Katana, форка Mirai, который отслеживался с февраля 2026 года. Однако, несмотря на общую инфраструктуру и цели, это полностью новый проект, не имеющий общих строк кода со своим предшественником. Если Katana был простым бинарником для Linux, скомпилированным под устаревшую библиотеку uClibc и использовавшим примитивное шифрование, то CECbot - это нативное приложение для Android. Оно написано с использованием современного стека технологий, включая криптографические примитивы Curve25519, Ed25519 и ChaCha20-Poly1305, аналогичные тем, что применяются в мессенджере Signal и протоколе WireGuard.
Аналитики сообщают, что переход от Katana к CECbot представляет собой качественный скачок в архитектуре. Новый ботнет не борется с платформой Android, а использует её собственные механизмы в своих целях. Вместо того чтобы пытаться обойти ограничения на фоновое выполнение, CECbot легально регистрирует службы, планировщики заданий (JobScheduler) и получает широковещательные сообщения (Broadcast Receiver). Он реализует целых девять уровней закрепления в системе, включая манипуляции с настройками энергосбережения для семи конкретных производителей устройств, таких как Xiaomi, Huawei и Samsung. Это позволяет ему оставаться незаметным и устойчивым к попыткам удаления.
Наиболее примечательными функциями CECbot являются две новые возможности, ранее не встречавшиеся в документации о подобных угрозах. Во-первых, это использование протокола HDMI-CEC. Вредоносное приложение может отправлять команды по шине HDMI, чтобы перевести подключенный телевизор в спящий режим, а также выполнять сканирование подключенных устройств и инжектировать произвольные CEC-кадры. Хотя теоретические исследования уязвимостей CEC существовали и раньше, CECbot, по мнению экспертов, является первым задокументированным вредоносным ПО, использующим эту технологию в реальных атаках. Операционный смысл этой функции может заключаться в сокрытии следов взлома: после подмены стандартного лаунчера приставки на пустой экран, телевизор можно перевести в режим ожидания, создав у пользователя впечатление, что устройство просто выключено.
Второй ключевой особенностью является автоматическое сканирование локальной сети. Получив соответствующую команду от центра управления (C2), ботнет выполняет ICMP-сканирование подсети, коррелирует найденные активные хосты с таблицей ARP и возвращает оператору структурированный список всех доступных устройств с их MAC-адресами. В сочетании с встроенным сканером портов это превращает обычную телевизионную приставку в мощный инструмент разведки внутри доверенной сети. Если для домашней сети это, в первую очередь, вторжение в приватность, то в корпоративной или медицинской среде такая возможность представляет собой критическую угрозу, открывая путь для горизонтального перемещения злоумышленников.
Ботнет распространяется по уже известному вектору, описанному ранее для другого семейства вредоносных программ Kimwolf. Многие несертифицированные Android TV-приставки поставляются с предустановленными SDK прокси-сервисов, которые, среди прочего, оставляют открытым порт отладки ADB. Злоумышленники используют туннелирование через эти прокси для получения доступа к ADB без аутентификации и последующей установки вредоносного APK. Таким образом, бот изначально оказывается внутри локальной сети жертвы, что делает его возможности по сканированию этой сети особенно ценными.
Полезная нагрузка CECbot включает 11 методов DDoS-атак, среди которых выделяется продвинутая L7-атака на протоколы HTTP/HTTPS с динамической подгрузкой библиотек TLS и поддержкой HTTP/2. Вредонос также может функционировать как резидентный прокси-сервер (SOCKS5) или обратный прокси, превращая заражённые устройства в узлы выхода для чужого трафика. Это повторяет бизнес-модель тех самых прокси-сервисов, уязвимости которых используются для первоначального заражения.
Обнаружение CECbot в сети возможно по ряду признаков, включая TCP-соединения, начинающиеся с magic-байтов "\xBE\xEF", DNS-запросы к доменам sdkconnecter[.]com или sdkconnect121[.]st, а также по использованию в SMTP-атаках нерезолвящихся доменов вроде "mail.server.local". Появление CECbot наглядно демонстрирует, что риски, связанные с небезопасными несертифицированными Android-устройствами, не только сохраняются, но и эволюционируют. Каждое новое поколение вредоносных программ, эксплуатирующих эту цепочку поставки, становится более изощрённым и опасным, превращая потребительскую электронику из пассивной цели в активный инструмент для атак на личное пространство и корпоративные периметры.
Индикаторы компрометации
IPv4
- 148.113.3.62
- 169.40.104.39
- 185.31.200.15
- 185.31.200.52
- 185.31.200.86
- 185.92.182.10
- 194.116.217.131
- 31.56.117.35
- 31.57.47.141
- 31.57.63.129
- 31.57.63.53
- 31.58.171.203
- 46.8.68.161
- 51.161.207.186
- 88.151.195.128
- 88.151.195.83
- 91.108.248.238
- 91.92.241.12
Domains
- sdkconnect121.st
- sdkconnecter.com
Onion Domains
- c2kxpjr7cux7fqrfmimsz7rtq527xauw627xrjojimt66nwxqvrqbuyd.onion
SHA256
- b3c1d5fc273d19556b09f935b9b09b782b113b98a8a010ebcbb5de5bfce77e67
