Троянец Mirai в новом обличье атакует Android TV

06.09.2023
Компания «Доктор Веб» выявила семейство троянских программ Android.Pandora, которое компрометирует устройства пользователей в процессе обновления прошивки или при установке приложений для нелегального просмотра видеоконтента.

Обширные возможности по проведению DDoS-атак этот бэкдор унаследовал от своего предка — известного троянца Linux.Mirai.

Специалистам компании «Доктор Веб» поступили сообщения от нескольких пользователей о случаях изменения файлов в системной области. Монитор угроз отреагировал на наличие в файловой системе на устройствах следующих объектов:

  • /system/bin/pandoraspearrk

  • /system/bin/supervisord

  • /system/bin/s.conf

  • /system/xbin/busybox

  • /system/bin/curl

Также было обнаружено изменение двух файлов:

  • /system/bin/rootsudaemon.sh

  • /system/bin/preinstall.sh

На разных устройствах изменялись разные файлы. Как выяснилось, скрипт, устанавливающий это вредоносное ПО, ищет системные сервисы, исполняемый код которых находится в .sh-файлах, и добавляет в них строчку, запускающую трояна:

  • /system/bin/supervisord -c /system/bin/s.conf &

Это необходимо, чтобы троян закрепился в системе и запускался после перезагрузки устройства.

Особый интерес представляет обфусцированный файл с именем pandoraspearrk. После анализа он был добавлен в вирусную базу Dr.Web как бэкдор Android.Pandora.2. Основным его предназначением является использование зараженного устройства в составе ботнета для выполнения распределенных DDoS-атак. Файл supervisord — сервис, который контролирует статус исполняемого файла pandoraspearrk и в случае завершения его работы перезапускает бэкдор. Свои настройки supervisord получает из файла s.conf. Файлы busybox и curl являются обычными версиями одноименных утилит командной строки, которые присутствуют для обеспечения сетевых функций и работы с файловой системой. Файл rootsudaemon.sh запускает сервис daemonsu, обладающий root-привилегиями, и уже упомянутый supervisord с передачей ему параметров из s.conf. Программа preinstall.sh выполняет различные действия, заданные производителем устройства.

Данное вредоносное ПО направлено на пользователей устройств на базе Android TV, в первую очередь нижнего ценового сегмента. В частности, оно угрожает обладателям приставок Tanix TX6 TV Box, MX10 Pro 6K, H96 MAX X3 и ряда других.

Мы обнаружили, что этот троянец — модификация бэкдора Android.Pandora.10 (раньше назывался Android.BackDoor.334), содержавшегося во вредоносном обновлении прошивки для ТВ-приставки MTX HTV BOX HTV3 от 3 декабря 2015 года. Вероятно, это обновление распространялось с различных сайтов, поскольку оно подписано публично доступными тестовыми ключами Android Open Source Project. Служба, которая запускает бэкдор, включена в загрузочный образ boot.img. На изображении ниже показан запуск вредоносного сервиса в файле init.amlogic.board.rc из boot.img. 


Троянец Mirai в новом обличье атакует Android TV. Рис. 1

Вторым вектором передачи бэкдоров семейства Android.Pandora является установка приложений с сайтов для нелегального стриминга фильмов и сериалов. Примерами таких ресурсов могут быть домены с именами типа youcine, magistv, latinatv и unitv, ориентированные на испаноязычных пользователей.   


Троянец Mirai в новом обличье атакует Android TV. Рис. 2

После установки и запуска приложения на устройстве незаметно для пользователя запускается сервис GoMediaService. После первого запуска приложения этот сервис автоматически стартует при загрузке устройства, вызывая программу gomediad.so. Рассматриваемая версия программы распаковывает ряд файлов, в том числе исполняемый classes.dex, который определяется антивирусом Dr.Web как объект Tool.AppProcessShell.1, представляющий собой командный интерпретатор с повышенными привилегиями. В дальнейшем программы на устройстве могут взаимодействовать с данной оболочкой командной строки через открытый порт 4521. На изображении ниже приведена структура файлов, созданных программой gomediad.so, которая детектируется как Android.Pandora.4, после ее запуска. 


Троянец Mirai в новом обличье атакует Android TV. Рис. 4

Среди распакованных файлов имеется .tmp.sh, который представляет собой установщик уже знакомого нам бэкдора  Android.Pandora.2. После установки и запуска бэкдор получает адрес управляющего сервера из параметров командной строки или из файла, зашифрованного алгоритмом Blowfish. Обратившись к серверу, бэкдор скачивает файл hosts, заменяя им оригинальный системный файл, запускает процесс самообновления, после чего готов к приему команд.

Отправляя команды на зараженное устройство, злоумышленники могут запускать и останавливать DDoS-атаки по протоколам TCP и UDP, выполнять SYN, ICMP и DNS-flood, открывать reverse shell, монтировать системные разделы ОС Android TV на чтение и запись и т. д. Все эти возможности были реализованы за счёт использования кода троянца  Linux.Mirai, который с 2016 года применялся для организации DDOS-атак на такие известные сайты как GitHub, Twitter, Reddit, Netflix, Airbnb и многие другие.

Компания «Доктор Веб» рекомендует обновлять операционную систему на ваших устройствах до самых последних доступных версий, которые закрывают имеющиеся уязвимости, а также скачивать программное обеспечение только из заслуживающих доверия источников: официальных сайтов или магазинов приложений.

Dr.Web Security Space для Android при наличии root-полномочий способен обезвредить Android.Pandora, а также приложения, в которые тот встроен. Если же на инфицированном устройстве root-привилегии недоступны, избавиться от вредоносной программы поможет установка чистого образа операционной системы, которую должен предоставить производитель оборудования.

Похожие статьи