¿Compraste un decodificador de TV barato? Enhorabuena: ahora forma parte de ciberguerras globales
Tus series favoritas van lentas no por un equipo limitado, sino por «nuevos inquilinos» en el sistema.
Katana ha tomado el control de al menos 30.000 decodificadores Android TV y ha convertido dispositivos económicos en una plataforma para ataques DDoS. El equipo Nokia Deepfield ERT describió una nueva ola de infecciones, en la que a los atacantes no les hicieron falta ni vulnerabilidades ni herramientas complejas: bastó con una suscripción a proxys residenciales y acceso a ADB sin autenticación.
No se trata de dispositivos certificados Google TV, sino de cajas económicas basadas en Android Open Source Project sin Google Play Protect. Según los autores del informe, el operador Katana distribuye el malware a través de ADB abierto e instala en el dispositivo un archivo APK o un binario ejecutable ELF. Tras ejecutarse, el bot bloquea el puerto 5555, cambia la configuración de acceso remoto y dificulta que el propietario recupere el control de la caja.
La característica principal de Katana es un esquema poco habitual en la familia Mirai: la compilación del rootkit directamente en el dispositivo infectado. El APK malicioso aporta el código fuente, el compilador TinyCC y cargadores para distintas arquitecturas, y luego intenta compilar un módulo del kernel in situ. Ese módulo oculta procesos y archivos, protege al bot contra la eliminación y evita que sea terminado por una señal. No obstante, la protección no siempre funciona: botnets rivales ya han aprendido a expulsar a Katana de algunas cajas.
La propia red, según Nokia Deepfield, ya es capaz de realizar ataques de hasta 150 Gbit/s. El conjunto Katana incluye 11 métodos de DDoS, entre ellos tráfico contra servidores de juego FiveM, SSH, MySQL, SMTP, IRC, FTP, LDAP, TeamSpeak 3 y servicios HTTP. Además, en la muestra no existe un escáner integrado ni fuerza bruta de contraseñas: la propagación se delega por completo a scripts ADB externos.
Jérôme Meyer de Nokia Deepfield informó que Katana se ha convertido en otro ejemplo de la nueva economía de botnets para Android TV. Los operadores alquilan acceso a redes domésticas mediante servicios proxy, localizan cajas con ADB abierto y capturan dispositivos masivamente sin escribir un exploit específico. Un indicio adicional de madurez de la campaña es la lucha entre las propias bandas, que eliminan bots ajenos y secuestran cajas ya infectadas.
Los autores del informe también observaron indicios de posible ayuda por parte de la IA. Esa hipótesis la sugieren las listas de utilidades bloqueadas excesivamente extensas, elementos inverosímiles para Android TV como emacs y conjuntos de comandos de red estandarizados. Al mismo tiempo, la arquitectura C2, el mecanismo de persistencia y la compilación del módulo del kernel indican que detrás de Katana hay no solo generación automática de código, sino también ajuste manual.