Byte/RE ИТ-издание

Атаки троянца Mirai на Android TV

Компания «Доктор Веб» сообщила, что выявила семейство троянских программ Android.Pandora, которое компрометирует устройства пользователей в процессе обновления прошивки или при установке приложений для нелегального просмотра видеоконтента. Возможности проведения DDoS-атак этот бэкдор унаследовал от своего «предка» – известного троянца Linux.Mirai.

Специалисты «Доктор Веб» получили сообщения от нескольких пользователей о случаях изменения файлов в системной области. Монитор угроз отреагировал на наличие в файловой системе на устройствах следующих объектов:

  • /system/bin/pandoraspearrk
  • /system/bin/supervisord
  • /system/bin/s.conf
  • /system/xbin/busybox
  • /system/bin/curl

Также было обнаружено изменение двух файлов: /system/bin/rootsudaemon.sh и /system/bin/preinstall.sh.

На разных устройствах изменялись разные файлы. Как выяснилось, скрипт, устанавливающий это вредоносное ПО, ищет системные сервисы, исполняемый код которых находится в .sh-файлах, и добавляет в них строчку, запускающую троянца: /system/bin/supervisord -c /system/bin/s.conf &. Это необходимо, чтобы троянец закрепился в системе и запускался после перезагрузки устройства.

Особый интерес представляет обфусцированный файл с именем pandoraspearrk. После анализа он был добавлен в вирусную базу Dr.Web как бэкдор Android.Pandora.2. Основное его назначение – использование зараженного устройства в составе ботнета для выполнения распределенных DDoS-атак. Файл supervisord – сервис, который контролирует статус исполняемого файла pandoraspearrk и в случае завершения его работы перезапускает бэкдор. Свои настройки supervisord получает из файла s.conf. Файлы busybox и curl – это обычные версии одноименных утилит командной строки, которые обеспечивают сетевые функции и работу с файловой системой. Файл rootsudaemon.sh запускает сервис daemonsu, обладающий root-привилегиями, и уже упомянутый supervisord с передачей ему параметров из s.conf. Программа preinstall.sh выполняет различные действия, заданные производителем устройства.

Обнаруженное вредоносное ПО направлено на пользователей устройств на базе Android TV, в первую очередь нижнего ценового сегмента. В частности, оно угрожает обладателям приставок Tanix TX6 TV Box, MX10 Pro 6K, H96 MAX X3 и ряда других.

Как выяснили в «Доктор Веб», этот троянец – модификация бэкдора Android.Pandora.10 (раньше он назывался Android.BackDoor.334), содержавшегося во вредоносном обновлении прошивки для ТВ-приставки MTX HTV BOX HTV3 от 3 декабря 2015 г. Вероятно, это обновление распространялось с различных сайтов, поскольку оно подписано публично доступными тестовыми ключами Android Open Source Project. Служба, которая запускает бэкдор, включена в загрузочный образ boot.img.

Вторым вектором передачи бэкдоров семейства Android.Pandora стала установка приложений с сайтов для нелегального стриминга фильмов и сериалов. Это, например, таких домены с именами типа youcine, magistv, latinatv и unitv, ориентированные на испаноязычных пользователей.

После установки и запуска приложения на устройстве незаметно для пользователя запускается сервис GoMediaService. После первого запуска приложения этот сервис автоматически стартует при загрузке устройства, вызывая программу gomediad.so. Рассматриваемая версия программы распаковывает ряд файлов, в том числе исполняемый classes.dex, который определяется антивирусом Dr.Web как объект Tool.AppProcessShell.1, представляющий собой командный интерпретатор с повышенными привилегиями. В дальнейшем программы на устройстве могут взаимодействовать с данной оболочкой командной строки через открытый порт 4521.

Среди распакованных файлов имеется .tmp.sh, который представляет собой установщик бэкдора Android.Pandora.2. После установки и запуска бэкдор получает адрес управляющего сервера из параметров командной строки или из файла, зашифрованного алгоритмом Blowfish. Обратившись к серверу, бэкдор скачивает файл hosts, заменяя им оригинальный системный файл, запускает процесс самообновления, после чего готов к приему команд.

Отправляя команды на зараженное устройство, злоумышленники могут запускать и останавливать DDoS-атаки по протоколам TCP и UDP, выполнять SYN, ICMP и DNS-flood, открывать reverse shell, монтировать системные разделы ОС Android TV на чтение и запись и т. д. Все эти возможности были реализованы за счет использования кода троянца Linux.Mirai, который с 2016 г. применялся для организации DDOS-атак на такие известные сайты как GitHub, Twitter, Reddit, Netflix, Airbnb и многие другие.

Как отмечают эксперты, решение Dr.Web Security Space для Android при наличии root-полномочий способно обезвредить Android.Pandora, а также приложения, в которые тот встроен. Если же на инфицированном устройстве root-привилегии недоступны, избавиться от вредоносной программы поможет установка чистого образа ОС, которую должен предоставить производитель оборудования.

Компания «Доктор Веб» рекомендует обновлять ОС на устройствах до самых последних доступных версий, которые закрывают имеющиеся уязвимости, а также скачивать ПО только из заслуживающих доверия источников.

Вам также могут понравиться