МТС ускорила интернет в посёлке гидростроителей Уптаре МТС ускорила интернет в посёлке гидростроителей Уптаре МегаФон обеспечил абонентам максимальное число успешных соединений в Барнауле МегаФон обеспечил абонентам максимальное число успешных соединений в Барнауле МТС установит на своей сети в Сибири новую партию из 200 базовых станций «ИРТЕЯ» МТС установит на своей сети в Сибири новую партию из 200 базовых станций «ИРТЕЯ» МТС AdTech запускает Multi-Touch Attribution - единый инструмент оценки эффективности омниканальных рекламных кампаний МТС AdTech запускает Multi-Touch Attribution - единый инструмент оценки эффективности омниканальных рекламных кампаний

Обезврежена армия DDoS-зомби из Android TV приставок

2 мин
безопасность
Изображение сгенерировано нейросетью Perplexity

В прошлом месяце США, Канада и Германия провели совместную кибероперацию, результатом которой были уничтожены четыре крупнейшие ботнеты Aisuru, KimWolf, JackSkid и Mossad. Сети были связаны между собой, но работали отдельно, продавая услуги DDoS-атак. Крупнейшая из таких атак состоялась в ноябре 2025 года, за 35 секунд она достигла 31,4 Тбит/с. Причем свои услуги ботнеты продавали другим преступникам, а уже те шантажировали жертв, требуя выкуп за прекращение атаки.

Суммарное количество зараженных устройств в ботнетах к моменту проведения операции достигло 3 миллионов, в основном это были домашние сетевые устройства, причем в США находилась не самая большая их часть - сотни тысяч. Однако источником заражения оказались дешевые ТВ-приставки на несертифицированном Android TV. Вредонос устанавливался на них еще на этапе прошивки на производстве, а сами устройства продавались с обещанием получить доступ к бесплатному контенту и телеканалам.

Как только покупатель включал и настраивал ТВ-приставку у себя дома, программа начинала сканировать всю домашнюю сеть, ища устройства с уязвимостями. Если таковые находились, то они становились частью ботнета, причем трафик, который они генерировали, было трудно отличить от «человеческого». Команды же подавались из центра, и за счет количества атаки становились одновременно сильными и трудно отслеживаемыми.

Среди устройств, которые заражены непосредственно на производстве, назывались модели T95, T95Z, T95MAX, X88, Q9, X12 Plus, KJ-SMART4KVIP, X96Q, MX10 и другие. Все устройства объединяет то, что работают они на несертифицированной версии Android TV (AOSP), продаются по низкой цене, позиционируются как устройства для просмотра пиратского контента и никогда не получают обновления безопасности после продажи.

Вылечить зараженные устройства можно банальным сбросом до заводских настроек, но вот с источником заражения все сложнее. Если вирус был установлен еще на производстве, как это происходило с ТВ-приставками, то поможет только полная перепрошивка, что потребует поиска подходящей прошивки и специфических навыков. Но учитывая цену устройства, проще его просто выкинуть. Проверить же свои домашние устройства на предмет причастности к ботнету не так сложно, достаточно отследить объем исходящего трафика, и если он аномально высокий, это означает, что оно что-то делает без вашего ведома.

// Сергей Половников