SHA:
- 03108c3c726250d6f3cb11489374632e29cf021a
- 4036ce5bcb2d40da984f09e188af037b2c174ada (одна из версий, способных получать root-доступ)
Троянская программа, работающая на мобильных устройствах под управлением ОС Android. Распространяется в модифицированных злоумышленниками изначально безобидных приложениях. Ее основное назначение – незаметная установка и удаление программ.
После инсталляции на целевой смартфон или планшет Android.Backdoor.176.origin начинает отслеживать следующие системные события:
- BOOT_COMPLETED – окончание загрузки устройства;
- USER_PRESENT – разблокировка экрана пользователем;
- CONNECTIVITY_CHANGE – изменение состояния доступа в сеть.
При наступлении этих событий происходит активизация троянца.
При первом запуске вредоносное приложение через POST-запрос отправляет на управляющий сервер подробную информацию о зараженном устройстве, включая:
- IMEI-идентификатор;
- IMSI-идентификатор;
- данные о состоянии внутренней и внешней памяти;
- геолокационные координаты;
- характеристики экрана;
- название модели;
а также другие сведения. Обмен данными с сервером осуществляется в формате JSON (JavaScript Object Notation).
Далее Android.Backdoor.176.origin запускает скрытый в его ресурсах вредоносный модуль, который подключается к нему при помощи интерфейса межпрограммного взаимодействия (Binder IPC). Этот модуль содержит основной вредоносный функционал троянца, заключающийся в установке и удалении приложений по команде управляющего сервера. Кроме того, данный компонент отслеживает количество входящих и исходящих вызовов, а также принятых и отправленных СМС-сообщений.
Некоторые версии Android.Backdoor.176.origin способны получать root-доступ на заражаемых мобильных устройствах. Для этого они загружают из Интернета и незаметно запускают модифицированную вирусописателями утилиту Root Master. В результате в системный каталог /system/xbin атакованного смартфона или планшета копируются троянские файлы .rt_bridge (Android.Rootkit.1) и .rt_daemon (Android.Rootkit.2), представляющие собой аналог утилиты su. После запуска .rt_bridge проверяет процесс, которым он был активизирован, и, если он соответствует процессу из списка разрешенных, запускает root-терминал.
Затем Android.Backdoor.176.origin скачивает из Интернета утилиту chattr и с ее помощью через запущенный ранее терминал устанавливает на собственный apk-файл атрибут immutable, защищая себя от удаления. В дальнейшем, даже после того как пользователь удалит троянца, при следующей перезагрузке операционной системы вредоносная программа вновь окажется на устройстве.
