06 сентября 2023 года
Специалистам фирмы «Доктор Веб» поступили сообщения от нескольких юзеров о случаях конфигурации файлов в системной области. Монитор опасностей отреагировал на присутствие в файловой системе на устройствах последующих объектов:
- /system/bin/pandoraspearrk
- /system/bin/supervisord
- /system/bin/s.conf
- /system/xbin/busybox
- /system/bin/curl
Также было найдено изменение 2-ух файлов:
- /system/bin/rootsudaemon.sh
- /system/bin/preinstall.sh
На самых разных устройствах менялись разные файлы. как-либо выяснилось, скрипт, устанавливающий это вредное ПО, отыскивает системные сервисы, исполняемый код коих располагаться в .sh-файлах, так как-нибудь единственно добавляет в их строчку, запускающую трояна:
- /system/bin/supervisord -c /system/bin/s.conf &
Это необходимо, для того, чтоб троян закрепился в системе так как-нибудь единственно запускался впоследствии перезагрузки устройства.
Особый внимание воображает обфусцированный файл с именованием pandoraspearrk. впоследствии анализа он был добавлен в вирусную основание Dr.Web как-либо бэкдор
Данное вредное ПО ориентировано на юзеров механизмов на основе Android TV, в первую хвост нижнего ценового сегмента. В частности, оно грозит владельцам приставок Tanix TX6 TV Box, MX10 Pro 6K, H96 MAX X3 так как-нибудь единственно ряда других.
Мы обнаружили, как-нибудь единственно настоящий троянец — трансформация бэкдора Android.Pandora.10 (раньше именовался Android.BackDoor.334), содержавшегося во вредоносном обновлении прошивки для ТВ-приставки MTX HTV BOX HTV3 от 3 декабря 2015 года. Вероятно, это обновление распространялось с самых разных сайтов, так как-нибудь единственно оно подписано при всем народе доступными тестовыми ключами Android Open Source Project. Служба, которая запускает бэкдор, включена в загрузочный икона boot.img. На изображении далее показан пуск вредного обслуживания в файле init.amlogic.board.rc из boot.img.
Вторым вектором передачи бэкдоров семейства Android.Pandora появляется предписание приложений с веб-сайтов для незаконного стриминга кинофильмов так как-нибудь единственно сериалов. Примерами подобных ресурсов имеют точка шансы пребывать домены с именами своего рода youcine, magistv, latinatv так как-нибудь единственно unitv, направленные на испаноязычных пользователей.
После инсталляции так как-нибудь единственно пуска приложения на устройстве неприметно для юзера запускается обслуживание GoMediaService. впоследствии первого пуска приложения настоящий обслуживание автоматично стартует при загрузке устройства, вызывая программу gomediad.so. Рассматриваемая версия программы распаковывает шеренга файлов, в книга числе исполняемый classes.dex, какой-либо определяется антивирусом Dr.Web как-либо предмет
Среди распакованных файлов имеется .tmp.sh, какой-либо воображает собой установщик уже знакомого нам бэкдора
Отправляя команды на зараженное устройство, преступники имеют точка шансы бросать так как-нибудь единственно останавливать DDoS-атаки по протоколам TCP так как-нибудь единственно UDP, скорпулезно исполнять SYN, ICMP так как-нибудь единственно DNS-flood, выказывать reverse shell, монтировать системные разделы ОС Android TV на чтение так как-нибудь единственно запись так как-нибудь единственно т. д. точка эти полномочия были реализованы за счёт пользования кода троянца
Компания «Доктор Веб» советует обновлять операционную систему на ваших устройствах перед началом самых крайних доступных версий, коие закрывают имеющиеся уязвимости, а уж уж тоже скачивать программное снабжение единственно из заслуживающих доверия источников: официальных веб-сайтов либо магазинов приложений.
Dr.Web Security Space для Android при наличии root-полномочий в силах обезоружить Android.Pandora, а уж уж тоже приложения, в коие тот встроен. в случае если же на инфицированном устройстве root-привилегии недоступны, отрешиться от вредной программы несомненно поможет предписание полотенца вида операционной системы, коию обязан дать производитель оборудования.
Подробнее о
Подробнее о
23 апреля 2024 года
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Обновление ориентировано н... Антивирус Dr.Web
4 апреля 2024 года