Мой Антивирус

06 сентября 2023 года

Компания «Доктор Веб» выявила фамилия троянских программ Android.Pandora, которое компрометирует устройства юзеров в процессе обновления прошивки либо при аппарате приложений для незаконного просмотра видеоконтента. необъятные полномочия по проведению DDoS-атак настоящий бэкдор унаследовал от собственного предка — знаменитого троянца Linux.Mirai.

Специалистам фирмы «Доктор Веб» поступили сообщения от нескольких юзеров о случаях конфигурации файлов в системной области. Монитор опасностей отреагировал на присутствие в файловой системе на устройствах последующих объектов:

• /system/bin/pandoraspearrk
• /system/bin/supervisord
• /system/bin/s.conf
• /system/xbin/busybox
• /system/bin/curl

Также было найдено изменение 2-ух файлов:

• /system/bin/rootsudaemon.sh
• /system/bin/preinstall.sh

На самых разных устройствах менялись разные файлы. как-либо выяснилось, скрипт, устанавливающий это вредное ПО, отыскивает системные сервисы, исполняемый код коих располагаться в .sh-файлах, так как-нибудь единственно добавляет в их строчку, запускающую трояна:

• /system/bin/supervisord -c /system/bin/s.conf &

Это необходимо, для того, чтоб троян закрепился в системе так как-нибудь единственно запускался впоследствии перезагрузки устройства.

Особый внимание воображает обфусцированный файл с именованием pandoraspearrk. впоследствии анализа он был добавлен в вирусную основание Dr.Web как-либо бэкдор Android.Pandora.2. главным его назначением появляется употребление зараженного устройства в составе ботнета для исполнения распределенных DDoS-атак. Файл supervisord — сервис, какой-либо держит под контролем статус исполняемого файла pandoraspearrk так как-нибудь единственно в случае окончания его работы перезапускает бэкдор. Свои опции supervisord приобретает из файла s.conf. Файлы busybox так как-нибудь единственно curl появляются нормальными версиями одноименных утилит командной строки, коие наличествуют для снабжения сетевых функций так как-нибудь единственно работы с файловой системой. Файл rootsudaemon.sh запускает обслуживание daemonsu, владеющий root-привилегиями, так как-нибудь единственно уже упомянутый supervisord с передачей ему же характеристик из s.conf. Программа preinstall.sh делает разные действия, данные производителем устройства.

Данное вредное ПО ориентировано на юзеров механизмов на основе Android TV, в первую хвост нижнего ценового сегмента. В частности, оно грозит владельцам приставок Tanix TX6 TV Box, MX10 Pro 6K, H96 MAX X3 так как-нибудь единственно ряда других.

Мы обнаружили, как-нибудь единственно настоящий троянец — трансформация бэкдора Android.Pandora.10 (раньше именовался Android.BackDoor.334), содержавшегося во вредоносном обновлении прошивки для ТВ-приставки MTX HTV BOX HTV3 от 3 декабря 2015 года. Вероятно, это обновление распространялось с самых разных сайтов, так как-нибудь единственно оно подписано при всем народе доступными тестовыми ключами Android Open Source Project. Служба, которая запускает бэкдор, включена в загрузочный икона boot.img. На изображении далее показан пуск вредного обслуживания в файле init.amlogic.board.rc из boot.img.

Вторым вектором передачи бэкдоров семейства Android.Pandora появляется предписание приложений с веб-сайтов для незаконного стриминга кинофильмов так как-нибудь единственно сериалов. Примерами подобных ресурсов имеют точка шансы пребывать домены с именами своего рода youcine, magistv, latinatv так как-нибудь единственно unitv, направленные на испаноязычных пользователей.

После инсталляции так как-нибудь единственно пуска приложения на устройстве неприметно для юзера запускается обслуживание GoMediaService. впоследствии первого пуска приложения настоящий обслуживание автоматично стартует при загрузке устройства, вызывая программу gomediad.so. Рассматриваемая версия программы распаковывает шеренга файлов, в книга числе исполняемый classes.dex, какой-либо определяется антивирусом Dr.Web как-либо предмет Tool.AppProcessShell.1, представляющий собой командный интерпретатор с завышенными привилегиями. В предстоящем программы на устройстве имеют точка шансы вести взаимодействие с заданной оболочкой командной строчки чрез явный порт 4521. На изображении далее приведена строение файлов, созданных программой gomediad.so, которая детектируется как-либо Android.Pandora.4, впоследствии ее запуска.

Среди распакованных файлов имеется .tmp.sh, какой-либо воображает собой установщик уже знакомого нам бэкдора Android.Pandora.2. впоследствии инсталляции так как-нибудь единственно пуска бэкдор приобретает адресок управляющего сервера из характеристик командной строчки либо из файла, зашифрованного методом Blowfish. Обратившись к серверу, бэкдор скачивает файл hosts, заменяя им же подлинный системный файл, запускает процесс самообновления, впоследствии чего готов к приему команд.

Отправляя команды на зараженное устройство, преступники имеют точка шансы бросать так как-нибудь единственно останавливать DDoS-атаки по протоколам TCP так как-нибудь единственно UDP, скорпулезно исполнять SYN, ICMP так как-нибудь единственно DNS-flood, выказывать reverse shell, монтировать системные разделы ОС Android TV на чтение так как-нибудь единственно запись так как-нибудь единственно т. д. точка эти полномочия были реализованы за счёт пользования кода троянца Linux.Mirai, какой-либо с 2016 лета применялся для организации DDOS-атак на подобные знакомую веб-сайты как-либо GitHub, Twitter, Reddit, Netflix, Airbnb так как-нибудь единственно многие другие.

Компания «Доктор Веб» советует обновлять операционную систему на ваших устройствах перед началом самых крайних доступных версий, коие закрывают имеющиеся уязвимости, а уж уж тоже скачивать программное снабжение единственно из заслуживающих доверия источников: официальных веб-сайтов либо магазинов приложений.

Dr.Web Security Space для Android при наличии root-полномочий в силах обезоружить Android.Pandora, а уж уж тоже приложения, в коие тот встроен. в случае если же на инфицированном устройстве root-привилегии недоступны, отрешиться от вредной программы несомненно поможет предписание полотенца вида операционной системы, коию обязан дать производитель оборудования.

Индикаторы компрометации

Подробнее о Android.Pandora так как-нибудь единственно Linux.Mirai

Подробнее о Android.Pandora.4

НОВОЕ НА САЙТЕ

23 апреля 2024 года

Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.

В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web

Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]

The post 25-26.05.24г. 10.00-15.00. III Всероссийский форум «БИЗН... Новости Безопастности

17 апреля 2024 года

В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости

11 апреля 2024 года

Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.

Обновление ориентировано н... Антивирус Dr.Web

4 апреля 2024 года

Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web