«Доктор Веб» выявила семейство вредоносных программ Android.Pandora. Они «влезают» в устройства, например с Android TV, при обновлении прошивки или установке приложений для трансляции нелегального видеоконтента, пишет CNews со ссылкой на разработчика антивирусных программ. От своего предшественника - известного троянца Linux.Mirai - вирус унаследовал широкие возможности DDoS-атак.
Пользователи сообщали об изменениях в системных файлах, что и привело к обнаружению вредоносных объектов в файловой системе, таких как pandoraspearrk, supervisord, s.conf, busybox, curl, rootsudaemon.sh и preinstall.sh. Эти изменения являются частью стратегии вредоносной программы, направленной на закрепление в системе и запуске после перезагрузки устройства.
Android.Pandora.2 - обфусцированный файл с именем pandoraspearrk - является основным компонентом этой вредоносной программы. Его основное назначение - включение инфицированных устройств в ботнет для проведения распределенных DDoS-атак.
Данная вредоносная программа нацелена в первую очередь на пользователей устройств на базе Android TV, особенно в нижнем ценовом диапазоне, таких как Tanix TX6 TV Box, MX10 Pro 6K, H96 MAX X3 и др.
Обнаружено, что данный троянец является модификацией Android.Pandora.10 (ранее Android.BackDoor.334), найденной во вредоносном обновлении прошивки для ТВ-приставки MTX HTV BOX HTV3 в декабре 2015 года. Это обновление, вероятно, распространялось с различных сайтов, поскольку было подписано общедоступными тестовыми ключами Android Open Source Project.
Еще одним вектором распространения вредоносной программы Android.Pandora является установка приложений с сайтов, предлагающих нелегальные сервисы трансляции фильмов и сериалов.
Пользователям рекомендуется обновлять свои устройства до последних версий операционной системы и загружать программное обеспечение только из надежных источников, таких как официальные сайты или магазины приложений.