Doctor Web 发现了一系列 Android.Pandora 木马,这些木马会在固件更新期间或安装用于查看盗版视频内容的应用程序时危害 Android 设备。该后门继承了其祖先著名的Linux.Mirai木马的先进 DDoS 攻击能力。
Doctor Web 收到了一些用户的报告,称 /system 目录中的文件被修改。SpIDer Guard 提醒他们文件系统中存在以下对象:
/system/bin/pandoraspearrk
/system/bin/supervisord
/system/bin/s.conf
/system/xbin/busybox
/system/bin/curl还发现以下文件已被修改:
/system/bin/rootsudaemon.sh
/system/bin/preinstall.sh文件修改报告列出了不同设备上的不同文件。事实证明,安装该恶意软件的脚本会在 .sh 文件中查找具有可执行代码的系统服务,并添加一行启动该木马:
/system/bin/supervisord -c /system/bin/s.conf &这是将木马锚定在系统中所必需的,以便在设备重新启动时启动它。
特别令人感兴趣的是混淆的 pandoraspearrk 文件。经过分析,该文件被添加到病毒库中,名称为Android.Pandora.2后门。其主要目的是利用受感染的设备作为僵尸网络的一部分来执行 DDoS 攻击。Supervisord 文件是一项服务,用于监视 pandoraspearrk 可执行文件的状态,并在后门终止时重新启动该后门。Supervisord 从 s.conf 文件中读取其设置。busybox 和curl 文件是同名的合法命令行实用程序,用于确保网络功能和文件系统操作。rootudaemon.sh 文件启动具有 root 权限的 daemonsu 服务,以及前面提到的从 s.conf 获取其配置的supervisord。preinstall.sh 程序执行设备供应商指定的各种操作。
该恶意软件针对的是基于 Android TV 的设备的用户,主要是价格较低的设备的用户。特别是 Tanix TX6 TV Box、MX10 Pro 6K、H96 MAX X3 等用户面临风险。
我们发现该木马是 Android.Pandora.10 后门(以前称为 Android.BackDoor.334)的修改版,该后门作为恶意固件更新发布,于 2015 年 12 月 3 日发布,适用于 MTX HTV BOX HTV3 Android 盒子。此更新很可能已可以从许多网站下载,因为它是使用公开可用的 Android 开源项目测试密钥进行签名的。运行后门的服务包含在boot.img中。下图显示了恶意服务如何从 boot.img 中包含的 init.amlogic.board.rc 文件启动。
Android.Pandora 后门感染设备的另一种方式是用户安装用于流式传输盗版电影和电视节目的应用程序。此类资源的示例包括名称为youcine、magistv、latinatv和unitv的域。这些域名针对西班牙语用户。
在设备上安装并启动应用程序后,GoMediaService 将在用户不知情的情况下启动。首次启动应用程序后,设备启动时会自动启动该服务;然后它调用 gomediad.so 程序。该版本的程序解压了许多文件,包括classes.dex,这是一个被Dr.Web防病毒软件检测为Tool.AppProcessShell.1的可执行文件,它是一个具有提升权限的命令行解释器。设备上的恶意程序可以通过开放端口 4521 与该 shell 进行交互。下图显示了 gomediad.so 程序创建的文件结构,该程序启动后被Dr.Web 检测为 Android.Pandora.4 。
解压后的文件中有 .tmp.sh,它是我们已经了解的Android.Pandora.2后门的安装程序。一旦安装并启动,后门就会从命令行参数或从使用 Blowfish 算法加密的文件中获取控制服务器的地址。后门访问服务器后,会下载一个hosts文件来替换原来的系统文件,并启动自我更新过程,并准备好接收命令。
通过向受感染的设备发送命令,攻击者可以通过 TCP 和 UDP 协议发起和停止 DDoS 攻击,执行 SYN、ICMP 和 DNS 泛洪、打开反向 shell、以读/写模式挂载 Android TV 系统分区等。所有这些功能的实现都得益于使用Linux.Mirai代码,该木马自 2016 年以来一直被用来对 GitHub、Twitter、Reddit、Netflix、Airbnb 等知名网站发起 DDoS 攻击。
Doctor Web 建议将设备上的操作系统更新到修复现有漏洞的最新可用版本,并仅从可信来源下载软件:官方网站或应用程序商店。
如果 root 权限可用,Dr.Web Security Space for Android 能够从系统以及嵌入它的应用程序中删除 Android.Pandora。如果受感染设备上没有 root 权限,安装硬件制造商提供的干净操作系统映像将有助于删除恶意软件。
样品
IOC
域名
youcineapp[.]com
magistv[.]video
tele-latino[.]com
telelatino[.]app
youcineapk[.]org
btvapp[.]net
youcine[.]one
youcinetv[.]app
youcinetv[.]page[.]link
latino9[.]com
fadfatest[.]pneydn[.]com
pandoramain-1794008345[.]us-west-2[.]elb[.]amazonaws[.]com
romatotti520[.]oicp[.]io
pandorabackup-1322908155[.]us-west-2[.]elb[.]amazonaws[.]com
pcn[.]panddna[.]com
ok3[.]mflve[.]com
apz[.]bsaldo[.]com
abcr[.]ftsym1[.]com
fadfa.gdalieyw[.]comIP
195[.]154.168[.]94转载来源:https://news.drweb.com/show/?lng=en&i=14743
图片来源网络侵权可联系删除
