SHA1-хеши:
- 8399c41b0d24c30391d7fba6b634ba29c0440007 (/system/xbin/wd)
- ccf8c0cb83160a20fa4c89b028fb63884f7b6a86 (расшифрованная полезная нагрузка)
Описание
Компонент вредоносной программы-бэкдора Android.Vo1d, обнаруженной в системной области ряда моделей ТВ-приставок на базе ОС Android. Его функциональность включает:
- расшифровку полезной нагрузки;
- расшифровку и запуск демона;
- скачивание по заданным ссылкам и запуск двоичных файлов;
- установку и запуск приложений.
Принцип действия
Расшифровка полезной нагрузки
Android.Vo1d.3 расшифровывает из своего тела промежуточный объект, который помещается в оперативную память. Для расшифровки этой полезной нагрузки используется алгоритм XXTEA с ключом fPNH830ES23QOPIM*&S955(2WR@L*&GF.
Запуск демона
Из ранее расшифрованного промежуточного объекта Android.Vo1d.3 расшифровывает демон Android.Vo1d.5. Для его расшифровки используется алгоритм XXTEA с ключом d99202373076ee9ec1d3df1dfa5afe1f. Полученный файл копируется в /data/google/daemon, после чего запускается.
Установка и запуск приложений
C помощью Inotify (подсистемы ядра Linux) Android.Vo1d.3 отслеживает появление новых файлов в следующих директориях:
- /data/google/
- /data/data/com.goog1e.apps/
Обнаруживаемые в них APK-файлы программ устанавливаются командой pm install –user.
Далее для их запуска используется команда am start start -n com.google.android.services/.MainActivity.
Подробнее об Android.Vo1d.5
