Среди распакованных файлов имеется .tmp.sh, который представляет собой установщик уже знакомого нам бэкдора Android.Pandora.2. После установки и запуска бэкдор получает адрес управляющего сервера из параметров командной строки или из файла, зашифрованного алгоритмом Blowfish. Обратившись к серверу, бэкдор скачивает файл hosts, заменяя им оригинальный системный файл, запускает процесс самообновления, после чего готов к приему команд.
Отправляя команды на зараженное устройство, злоумышленники могут запускать и останавливать DDoS-атаки по протоколам TCP и UDP, выполнять SYN, ICMP и DNS-flood, открывать reverse shell, монтировать системные разделы ОС Android TV на чтение и запись и т. д. Все эти возможности были реализованы за счёт использования кода троянца Linux.Mirai, который с 2016 года применялся для организации DDOS-атак на такие известные сайты как GitHub, Twitter, Reddit, Netflix, Airbnb и многие другие.
Компания «Доктор Веб» рекомендует обновлять операционную систему на ваших устройствах до самых последних доступных версий, которые закрывают имеющиеся уязвимости, а также скачивать программное обеспечение только из заслуживающих доверия источников: официальных сайтов или магазинов приложений.
Dr.Web Security Space для Android при наличии root-полномочий способен обезвредить Android.Pandora, а также приложения, в которые тот встроен. Если же на инфицированном устройстве root-привилегии недоступны, избавиться от вредоносной программы поможет установка чистого образа операционной системы, которую должен предоставить производитель оборудования.