SHA1-хеши:
- f3732871371819532416cf2ec03ea103a3d61802 (/system/xbin/vo1d)
- 675f9a34f6f8dc887e47aa85fffda41c178eb186 (расшифрованная полезная нагрузка)
Описание
Компонент вредоносной программы-бэкдора Android.Vo1d, обнаруженной в системной области ряда моделей ТВ-приставок на базе ОС Android. Его функциональность включает:
- расшифровку полезной нагрузки;
- отправку на C&C-сервер отчёта о запуске;
- запуск компонента Android.Vo1d.3;
- скачивание по заданным ссылкам и запуск двоичных файлов.
Принцип действия
Расшифровка полезной нагрузки
Android.Vo1d.1 извлекает из себя полезную нагрузку, для расшифровки которой используется алгоритм XXTEA с ключом fPNH830ES23QOPIM*&S955(2WR@L*&GF. Получаемый объект помещается в оперативную память. Фактически это основное тело Android.Vo1d.1, которое выполняет вредоносные задачи.
Отправка отчета о запуске
Android.Vo1d.1 отправляет POST-запрос по адресу hxxp[:]//bitemores[.]com/api/start:
| POST | hxxp[:]//bitemores[.]com/api/start |
|---|---|
| User-Agent | curl/7.64.0 |
| Accept | */* |
| Content-Type | application/json;charset=UTF-8 |
Пример запроса:
{
"c": "-1",
"ct": "2024-07-22 19:15:15",
"dt": "0",
"g": "10",
"gt": "0",
"i": "31",
"nn": "/data/local/tmp/vo1d",
"pd": "10993",
"t": "0",
"u": "1",
"ud": "0",
"uid": "",
"v": "10",
"vc": "",
"vt": ""
}
где:
- c — имеет значение 0, если компонент wd присутствует на устройстве, и значение -1, если он не найден;
- ct — текущее время;
- i — версия Android API;
- u — расположение компонента wd;
- nn — путь до исполняемого файла Android.Vo1d.1;
- pd — pid процесса Android.Vo1d.1;
- ud — uid (идентификатор пользователя), под которым запущен Android.Vo1d.1;
- g — константа;
- v — константа;
- u — указывает на расположение компонента wd (Android.Vo1d.3).
Известные возможные варианты расположения двоичного файла wd:
- /data/system/installd
- /system/xbin/wd
- /data/google/rild
Запуск компонента Android.Vo1d.3
Android.Vo1d запускает /system/xbin/wd (Android.Vo1d.3) и контролирует состояние активности его процесса, при необходимости перезапуская его.
Скачивание и запуск двоичных файлов по заданным ссылкам
Для скачивания исполняемых файлов Android.Vo1d.1 отправляет GET-запросы на следующие адреса:
- http[:]//6f33933ce4a5c0e1b32fea736a61351a[.]com/v1.0.0/sv
- http[:]//catmos99[.]com:81/v1.0.0/sv
Формат запросов:
| GET HTTP/1.1 | hxxp[:]//bitemores[.]com/api/start |
|---|---|
| User-Agent | curl/7.64.0 |
| Accept | */* |
С этих адресов троян получает ссылки, по которым скачивает и запускает целевые файлы.
Подробнее об Android.Vo1d.3
