Pandora Trojan IOCs

remote access Trojan IOC
Опубликовано

Компания "Доктор Веб" выявила семейство троянов Android.Pandora, которые компрометируют Android-устройства либо при обновлении прошивки, либо при установке приложений для просмотра пиратского видеоконтента. Свои расширенные возможности по организации DDoS-атак этот бэкдор унаследовал от своего прародителя - известного трояна Linux.Mirai.

Pandora Trojan

В компанию "Доктор Веб" поступили сообщения от нескольких пользователей о случаях модификации файлов в каталоге /system. SpIDer Guard предупредил их о наличии в файловой системе следующих объектов:

  • /system/bin/pandoraspearrk
  • /system/bin/supervisord
  • /system/bin/s.conf
  • /system/xbin/busybox
  • /system/bin/curl

Также были обнаружены изменения в следующих файлах:

  • /system/bin/rootsudaemon.sh
  • /system/bin/preinstall.sh

В отчетах о модификации файлов на разных устройствах были указаны разные файлы. Как выяснилось, скрипт, устанавливающий это вредоносное ПО, ищет в .sh-файлах системные службы с исполняемым кодом и добавляет строку, запускающую троян:

/system/bin/supervisord -c /system/bin/s.conf &.

Это необходимо для закрепления трояна в системе, чтобы он запускался при перезагрузке устройства.

Особый интерес представляет обфусцированный файл pandoraspearrk. Его основное назначение - использование зараженного устройства в составе ботнета для проведения DDoS-атак. Файл supervisord представляет собой сервис, который следит за состоянием исполняемого файла pandoraspearrk и перезапускает бэкдор в случае его завершения. Свои настройки supervisord считывает из файла s.conf. Файлы busybox и curl - это одноименные легитимные утилиты командной строки, которые присутствуют для обеспечения сетевых возможностей и работы с файловой системой. Файл rootsudaemon.sh запускает службу daemonsu, имеющую привилегии root, и упомянутый выше supervisord, получающий свои настройки из файла s.conf. Программа preinstall.sh выполняет различные действия, заданные производителем устройства.

Данная вредоносная программа нацелена на пользователей устройств на базе Android TV, в первую очередь из нижней ценовой категории. В частности, под угрозой находятся пользователи ТВ-боксов Tanix TX6, MX10 Pro 6K, H96 MAX X3 и других.

Доктор Веб обнаружили, что данный троян является модификацией бэкдора Android.Pandora.10 (ранее известного как Android.BackDoor.334), который поставляется в виде вредоносного обновления прошивки, выпущенного 3 декабря 2015 года для Android-приставки MTX HTV BOX HTV3. Вероятно, это обновление было доступно для загрузки с ряда сайтов, поскольку подписано общедоступными тестовыми ключами Android Open Source Project. Сервис, запускающий бэкдор, включен в файл boot.img.

После установки и запуска приложения на устройстве незаметно для пользователя запускается служба GoMediaService. После первого запуска приложения эта служба автоматически запускается при загрузке устройства и вызывает программу gomediad.so. Эта версия программы распаковывает ряд файлов, в том числе classes.dex, исполняемый файл, обнаруженный антивирусом Dr.Web как Tool.AppProcessShell.1, который представляет собой интерпретатор командной строки с повышенными привилегиями. Вредоносные программы на устройстве могут взаимодействовать с этой оболочкой через открытый порт 4521.

Среди распакованных файлов находится .tmp.sh, который является установщиком уже бэкдора Android.Pandora.2. После установки и запуска бэкдор получает адрес управляющего сервера из параметров командной строки или из файла, зашифрованного алгоритмом Blowfish. Получив доступ к серверу, бэкдор загружает файл hosts, заменяющий оригинальный системный файл, запускает процесс самообновления и становится готовым к приему команд.

Посылая команды на зараженное устройство, злоумышленники могут запускать и останавливать DDoS-атаки по протоколам TCP и UDP, осуществлять SYN-, ICMP- и DNS-флуд, открывать обратный shell, монтировать системные разделы Android TV в режиме чтения/записи и т.д. Все эти возможности доступны благодаря использованию кода Mirai - трояна, который с 2016 года используется для организации DDoS-атак на такие известные сайты, как GitHub, Twitter, Reddit, Netflix, Airbnb и многие другие.

Indicators of Compromise

IPv4

  • 195.154.168.94

Domains

  • abcr.ftsym1.com
  • apz.bsaldo.com
  • btvapp.net
  • fadfa.gdalieyw.com
  • fadfatest.pneydn.com
  • latino9.com
  • magistv.video
  • ok3.mflve.com
  • pandorabackup-1322908155.us-west-2.elb.amazonaws.com
  • pandoramain-1794008345.us-west-2.elb.amazonaws.com
  • pcn.panddna.com
  • romatotti520.oicp.io
  • telelatino.app
  • tele-latino.com
  • youcine.one
  • youcineapk.org
  • youcineapp.com
  • youcinetv.app
  • youcinetv.page.link

SHA1

  • 14215a93ed5d0a86f31aab0b2d7be6db8a45a371
  • 315ce059dc226831b691e12cf954d9ed038075ca
  • 38505df840791e49797cb16e895fecc400e9e57f
  • 533770922093f567ba6f976308c847cc313786a6
  • 59c9f06b3ff2abceb7116ffc9f4566d2466ae4c4
  • 79759135952f88403fe38f242fea42c191412484
  • 864b477f97ce8640c8fbf60d73fbc5552883b20f
  • 87005061e5e4ebca28c9463be19f5da6a5ee275d
  • 952d9d39bccd3c0de975aca2d2ec577f8dac9934
  • 9c3b326f38118dd6bcde52c78b39e7665bf56f22
  • a4af993540ff66d3989f1bed013a5b9e86c06f47
  • a4d2b8bf7f166e99aa0db4336939cbbb8938603a
  • Adaa93cf60ba47bb48892d7067156a1d4d03ed52
  • bdeee172f31cd4500bc10de3673bd48c65fd7e89
  • c9a681d3406301ed24f3d27f480cc213862c2bc4
  • E4b4cc3bc9c7d8da00010dba040b7d500e4afce8
  • e7f67afe8ed036cb583c4a13319001e27179ce3b
  • eb7e9c854508dbfbc3205c42d65efc65fe2aec94
  • f347afa9e35dbbfc27f5aa3f27ef2fd22e628909
Похожие записи:
  1. Copybara Trojan IOCs
  2. Trojan.HiddenAds IOCs
  3. Schoolyard Bully Trojan IOCs
  4. Godfather Trojan IOCs
  5. PixPirate Trojan
Android Dr.Web Pandora trojan
Добавить комментарий