Малварь Pandora использует бюджетные Android-приставки для DDoS-атак
Специалисты компании
«Доктор Веб» обнаружили семейство
малвари Android.Pandora (далее просто Pandora), построенное на базе известного
вредоноса Mirai. Pandora компрометирует устройства
пользователей в процессе обновления прошивки или при установке приложений для нелегального просмотра видеоконтента.
На разных устройствах изменялись разные файлы. Как выяснилось, скрипт, устанавливающий
малварь, ищет системные сервисы, исполняемый код которых находится в
.sh-файлах, и добавляет в них строчку, запускающую трояна:
/system/bin/supervisord -c /system/bin/s.conf &. Это необходимо, чтобы троян закрепился в системе и запускался после перезагрузки устройства.
Особый интерес у исследователей вызвал
обфусцированный файл с именем
pandoraspearrk, получивший идентификатор
Android.Pandora.2. Анализ показал, что основным предназначением этого бэкдора является использование зараженного устройства в составе
ботнета для выполнения
DDoS-атак.