カタナボットネットは3万台以上のAndroidベースのテレビセットトップボックスを簒奪し、これらの廉価な装置を分散サービス妨害(DDoS)攻撃のための強力な足がかりに変貌させた。Nokia Deepfield ERTの先鋒は、悪意のある行為者がソフトウェアの脆弱性や複雑な仕組みを必要としなかった新たな感染波を記録した。住宅用プロキシへのサブスクリプションと認証されていないAndroid Debug Bridge(ADB)アクセスだけで十分であった。
この現象は公式に認定されたGoogle TVデバイスではなく、Android Open Source Projectの上に構築された予算型セットトップボックスに関するもので、Google Play Protectの保護が著しく不足していた。レポートの著者によれば、カタナの主権的オペレーターは、公開されたADBコンジットを介して悪質なアーキテクチャを増殖させ、被害を受けたホストにAPKアーティファクトまたは実行可能なELFバイナリをインストールする。起動すると、ボットは容赦なくポート5555をブロックし、リモートアクセス設定を変え、正当な所有者が装置の支配を取り戻そうとする努力を激しく妨害する。
カタナの根本的な特異性は、Miraiの系統の中でも極めて稀なアーキテクチャパラダイムにある。それは、被害を受けたデバイス上でその場でルートキットをコンパイルすることを含むものである。有毒なAPKは基礎的なソースコード、TinyCC コンパイラ、および異なるアーキテクチャ用にカスタマイズされたローダーを運ぶ。その後、その場でカーネルモジュールを鍛造しようと試みる。このような巧妙に作られたモジュールは操作プロセスとローカルアーカイブを隠し、ボットを削除から保護し、プロセスをシステム終了シグナルに対して完全に侵襲不可能にする。それでもなお、この強力な盾は絶対ではない。ライバルのボットネット勢力は既に、争われているこれらのセットトップボックスの一部からカタナを暴力的に排除する技術を習得している。
Nokia Deepfieldの推定によれば、そのネットワークは既に最大150ギガビット毎秒の帯域幅を駆使して直動的な攻撃を持つ恐ろしい能力を持っている。カタナの兵器庫は11の異なるDDoS戦略を含むもので、FiveMサーバーに向けられた爆撃、ならびにSSH、MySQL、SMTP、IRC、FTP、LDAP、TeamSpeak 3およびHTTPコンジットが顕著に列挙されている。決定的に、この見本は本質的なスキャナーも暗号化ブルートフォース機構も持たない。その増殖は全体が外部のADBスクリプトを介して組織化されている。
Nokia DeepfieldのJerome Meyerが述べたところでは、カタナはAndroid TVを対象とした新たな恐ろしいボットネットマクロ経済の別の例として結晶化した。これらのデジタルオペレーターは住宅用プロキシコンジットを介して国内ネットワークへの地下の入り口をリースし、公開されたADBポートを持つセットトップボックスを掘り出し、独自のエクスプロイトを作成する負担なしに大量の征服を実行する。このキャンペーンの深刻な成熟の別の特徴は、ライバルのグループ間で展開された悪質な内戦であり、敵対的なボットを容赦なく排除し、以前に征服された装置の支配を奪い取る。
レポートの著者はまた、人工知能によって提供される将来的な援助の幽霊のような足跡を認識した。この仮説は、ブロックされたユーティリティの著しく膨張したレジストリ、Android TVエコシステムとして著しく不釣り合いな要素(emacsテキストエディタなど)の組み込み、および迷路のような定型ネットワーク指示の配列によって確証されている。同時に、指令・統制アーキテクチャ、永続化メカニズム、およびカーネルモジュールのその場でのコンパイルは、カタナが単に自動の合成コード生成によってではなく、細心の手作業によって推進されていることを明らかに指示している。
