Известный троянец Mirai в новом обличье приходит на телевизоры и приставки с Android TV
Компания «Доктор веб» выявила семейство троянских программ Android.Pandora, которое компрометирует устройства пользователей в процессе обновления прошивки или при установке приложений для нелегального просмотра видеоконтента. Обширные возможности по проведению DDoS-атак этот бэкдор унаследовал от своего предка — известного троянца Linux.Mirai. Об этом CNews сообщили представители «Доктор веб».
Специалистам компании «Доктор веб» поступили сообщения от нескольких пользователей о случаях изменения файлов в системной области. Монитор угроз отреагировал на наличие в файловой системе на устройствах следующих объектов: /system/bin/pandoraspearrk; system/bin/supervisord; /system/bin/s.conf; /system/xbin/busybox; /system/bin/curl.
Также было обнаружено изменение двух файлов: /system/bin/rootsudaemon.sh; • /system/bin/preinstall.sh.
На разных устройствах изменялись разные файлы. Как выяснилось, скрипт, устанавливающий это вредоносное ПО, ищет системные сервисы, исполняемый код которых находится в .sh-файлах, и добавляет в них строчку, запускающую трояна: /system/bin/supervisord -c /system/bin/s.conf &
Это необходимо, чтобы троян закрепился в системе и запускался после перезагрузки устройства.
Особый интерес представляет обфусцированный файл с именем pandoraspearrk. После анализа он был добавлен в вирусную базу Dr.Web как бэкдор Android.Pandora.2. Основным его предназначением является использование зараженного устройства в составе ботнета для выполнения распределенных DDoS-атак. Файл supervisord — сервис, который контролирует статус исполняемого файла pandoraspearrk и в случае завершения его работы перезапускает бэкдор. Свои настройки supervisord получает из файла s.conf. Файлы busybox и curl являются обычными версиями одноименных утилит командной строки, которые присутствуют для обеспечения сетевых функций и работы с файловой системой. Файл rootsudaemon.sh запускает сервис daemonsu, обладающий root-привилегиями, и уже упомянутый supervisord с передачей ему параметров из s.conf. Программа preinstall.sh выполняет различные действия, заданные производителем устройства.
Данное вредоносное ПО направлено на пользователей устройств на базе Android TV, в первую очередь нижнего ценового сегмента. В частности, оно угрожает обладателям приставок Tanix TX6 TV Box, MX10 Pro 6K, H96 MAX X3 и ряда других.
Эксперты «Доктор веб» обнаружили, что этот троянец — модификация бэкдора Android.Pandora.10 (раньше назывался Android.BackDoor.334), содержавшегося во вредоносном обновлении прошивки для ТВ-приставки MTX HTV BOX HTV3 от 3 декабря 2015 г. Вероятно, это обновление распространялось с различных сайтов, поскольку оно подписано публично доступными тестовыми ключами Android Open Source Project. Служба, которая запускает бэкдор, включена в загрузочный образ boot.img.
Вторым вектором передачи бэкдоров семейства Android.Pandora является установка приложений с сайтов для нелегального стриминга фильмов и сериалов. Примерами таких ресурсов могут быть домены с именами типа youcine, magistv, latinatv и unitv, ориентированные на испаноязычных пользователей.
После установки и запуска приложения на устройстве незаметно для пользователя запускается сервис GoMediaService. После первого запуска приложения этот сервис автоматически стартует при загрузке устройства, вызывая программу gomediad.so. Рассматриваемая версия программы распаковывает ряд файлов, в том числе исполняемый classes.dex, который определяется антивирусом Dr.Web как объект Tool.AppProcessShell.1, представляющий собой командный интерпретатор с повышенными привилегиями. В дальнейшем программы на устройстве могут взаимодействовать с данной оболочкой командной строки через открытый порт 4521. На изображении ниже приведена структура файлов, созданных программой gomediad.so, которая детектируется как Android.Pandora.4, после ее запуска.
Структура файлов, созданных программой gomediad.so
Среди распакованных файлов имеется .tmp.sh, который представляет собой установщик уже знакомого бэкдора Android.Pandora.2. После установки и запуска бэкдор получает адрес управляющего сервера из параметров командной строки или из файла, зашифрованного алгоритмом Blowfish. Обратившись к серверу, бэкдор скачивает файл hosts, заменяя им оригинальный системный файл, запускает процесс самообновления, после чего готов к приему команд.
Отправляя команды на зараженное устройство, злоумышленники могут запускать и останавливать DDoS-атаки по протоколам TCP и UDP, выполнять SYN, ICMP и DNS-flood, открывать reverse shell, монтировать системные разделы ОС Android TV на чтение и запись и т. д. Все эти возможности были реализованы за счёт использования кода троянца Linux.Mirai, который с 2016 г. применялся для организации DDOS-атак на такие известные сайты как GitHub, Reddit, Netflix, Airbnb и др.
Компания «Доктор веб» рекомендует обновлять операционную систему на устройствах до самых последних доступных версий, которые закрывают имеющиеся уязвимости, а также скачивать программное обеспечение только из заслуживающих доверия источников: официальных сайтов или магазинов приложений.
Источник: safe.cnews.ru