Компания "Доктор Веб" выявила семейство троянов Android.Pandora, которые компрометируют Android-устройства либо при обновлении прошивки, либо при установке приложений для просмотра пиратского видеоконтента. Свои расширенные возможности по организации DDoS-атак этот бэкдор унаследовал от своего прародителя - известного трояна Linux.Mirai.
Pandora Trojan
В компанию "Доктор Веб" поступили сообщения от нескольких пользователей о случаях модификации файлов в каталоге /system. SpIDer Guard предупредил их о наличии в файловой системе следующих объектов:
- /system/bin/pandoraspearrk
- /system/bin/supervisord
- /system/bin/s.conf
- /system/xbin/busybox
- /system/bin/curl
Также были обнаружены изменения в следующих файлах:
- /system/bin/rootsudaemon.sh
- /system/bin/preinstall.sh
В отчетах о модификации файлов на разных устройствах были указаны разные файлы. Как выяснилось, скрипт, устанавливающий это вредоносное ПО, ищет в .sh-файлах системные службы с исполняемым кодом и добавляет строку, запускающую троян:
/system/bin/supervisord -c /system/bin/s.conf &.
Это необходимо для закрепления трояна в системе, чтобы он запускался при перезагрузке устройства.
Особый интерес представляет обфусцированный файл pandoraspearrk. Его основное назначение - использование зараженного устройства в составе ботнета для проведения DDoS-атак. Файл supervisord представляет собой сервис, который следит за состоянием исполняемого файла pandoraspearrk и перезапускает бэкдор в случае его завершения. Свои настройки supervisord считывает из файла s.conf. Файлы busybox и curl - это одноименные легитимные утилиты командной строки, которые присутствуют для обеспечения сетевых возможностей и работы с файловой системой. Файл rootsudaemon.sh запускает службу daemonsu, имеющую привилегии root, и упомянутый выше supervisord, получающий свои настройки из файла s.conf. Программа preinstall.sh выполняет различные действия, заданные производителем устройства.
Данная вредоносная программа нацелена на пользователей устройств на базе Android TV, в первую очередь из нижней ценовой категории. В частности, под угрозой находятся пользователи ТВ-боксов Tanix TX6, MX10 Pro 6K, H96 MAX X3 и других.
Доктор Веб обнаружили, что данный троян является модификацией бэкдора Android.Pandora.10 (ранее известного как Android.BackDoor.334), который поставляется в виде вредоносного обновления прошивки, выпущенного 3 декабря 2015 года для Android-приставки MTX HTV BOX HTV3. Вероятно, это обновление было доступно для загрузки с ряда сайтов, поскольку подписано общедоступными тестовыми ключами Android Open Source Project. Сервис, запускающий бэкдор, включен в файл boot.img.
После установки и запуска приложения на устройстве незаметно для пользователя запускается служба GoMediaService. После первого запуска приложения эта служба автоматически запускается при загрузке устройства и вызывает программу gomediad.so. Эта версия программы распаковывает ряд файлов, в том числе classes.dex, исполняемый файл, обнаруженный антивирусом Dr.Web как Tool.AppProcessShell.1, который представляет собой интерпретатор командной строки с повышенными привилегиями. Вредоносные программы на устройстве могут взаимодействовать с этой оболочкой через открытый порт 4521.
Среди распакованных файлов находится .tmp.sh, который является установщиком уже бэкдора Android.Pandora.2. После установки и запуска бэкдор получает адрес управляющего сервера из параметров командной строки или из файла, зашифрованного алгоритмом Blowfish. Получив доступ к серверу, бэкдор загружает файл hosts, заменяющий оригинальный системный файл, запускает процесс самообновления и становится готовым к приему команд.
Посылая команды на зараженное устройство, злоумышленники могут запускать и останавливать DDoS-атаки по протоколам TCP и UDP, осуществлять SYN-, ICMP- и DNS-флуд, открывать обратный shell, монтировать системные разделы Android TV в режиме чтения/записи и т.д. Все эти возможности доступны благодаря использованию кода Mirai - трояна, который с 2016 года используется для организации DDoS-атак на такие известные сайты, как GitHub, Twitter, Reddit, Netflix, Airbnb и многие другие.
Indicators of Compromise
IPv4
- 195.154.168.94
Domains
- abcr.ftsym1.com
- apz.bsaldo.com
- btvapp.net
- fadfa.gdalieyw.com
- fadfatest.pneydn.com
- latino9.com
- magistv.video
- ok3.mflve.com
- pandorabackup-1322908155.us-west-2.elb.amazonaws.com
- pandoramain-1794008345.us-west-2.elb.amazonaws.com
- pcn.panddna.com
- romatotti520.oicp.io
- telelatino.app
- tele-latino.com
- youcine.one
- youcineapk.org
- youcineapp.com
- youcinetv.app
- youcinetv.page.link
SHA1
- 14215a93ed5d0a86f31aab0b2d7be6db8a45a371
- 315ce059dc226831b691e12cf954d9ed038075ca
- 38505df840791e49797cb16e895fecc400e9e57f
- 533770922093f567ba6f976308c847cc313786a6
- 59c9f06b3ff2abceb7116ffc9f4566d2466ae4c4
- 79759135952f88403fe38f242fea42c191412484
- 864b477f97ce8640c8fbf60d73fbc5552883b20f
- 87005061e5e4ebca28c9463be19f5da6a5ee275d
- 952d9d39bccd3c0de975aca2d2ec577f8dac9934
- 9c3b326f38118dd6bcde52c78b39e7665bf56f22
- a4af993540ff66d3989f1bed013a5b9e86c06f47
- a4d2b8bf7f166e99aa0db4336939cbbb8938603a
- Adaa93cf60ba47bb48892d7067156a1d4d03ed52
- bdeee172f31cd4500bc10de3673bd48c65fd7e89
- c9a681d3406301ed24f3d27f480cc213862c2bc4
- E4b4cc3bc9c7d8da00010dba040b7d500e4afce8
- e7f67afe8ed036cb583c4a13319001e27179ce3b
- eb7e9c854508dbfbc3205c42d65efc65fe2aec94
- f347afa9e35dbbfc27f5aa3f27ef2fd22e628909