SHA1:
45e17cab5ea9d1c2865526d7ee8a692f70eb7456
Вредоносная программа, заражающая мобильные Android-устройства. Распространяется в модифицированных вирусописателями безобидных играх и приложениях. Является модификацией троянца Android.Backdoor.176.origin.
При первом запуске Android.Backdoor.196.origin собирает подробную информацию об инфицированном смартфоне или планшете и передает ее на управляющий сервер. Далее троянец начинает отслеживать ряд системных событий, таких как окончание загрузки устройства (BOOT_COMPLETED), разблокировка экрана пользователем (USER_PRESENT) и некоторых других.
После первого с момента заражения запуска устройства Android.Backdoor.196.origin пытается получить на нем root-доступ, используя для этого модифицированную утилиту Root Master. Затем при помощи эмулятора Android-терминала он устанавливает на собственный программный пакет атрибут immutable, защищая себя от попыток удаления пользователем. В результате при деинсталляции троянец будет вновь установлен в систему после ее очередного включения.
Далее при помощи метода DexClassLoader Android.Backdoor.196.origin запускает вредоносный модуль, детектируемый как Adware.Xinyin.1.origin. В зависимости от модификации троянца данный модуль либо копируется из программного пакета Android.Backdoor.196.origin, либо загружается с сервера злоумышленников.
После того как Adware.Xinyin.1.origin получает управление, он отвечает за выполнение всех основных вредоносных действий, необходимых злоумышленникам. В частности, он способен незаметно устанавливать и удалять указанные вирусописателями приложения, отправлять СМС-сообщения, отслеживать количество входящих и исходящих вызовов, число принятых и отправленных СМС-сообщений, а также показывать рекламу. Кроме того, с определенной периодичностью он проверяет и загружает собственные обновления.
Для получения команд злоумышленников, а также отправки собираемых данных троянец и его вредоносный модуль используют несколько отдельных управляющих серверов.
Передача собираемой информации злоумышленникам:
- http://api.****.net;
- http://rs.****.net;
- http://rs.201****.com;
- http://rs.*****.com;
- http://rs.*****pk.com.
Получение параметров для отправки СМС-сообщений:
- http://pay.fast*****.com;
- http://base.fast*****.com.
Получение параметров для показа рекламных уведомлений:
- http://msg.aol****.com;
- http://msg.zol****.com.
