SHA1:
- f9d8a20c5be86876e493ebf80b3d021951a7e344
Троянская программа для ОС Android, представляющая собой рекламную платформу (SDK, Software Development Kit). Она встраивается разработчиками ПО в различные приложения, которые могут распространяться в том числе в каталоге Google Play.
После запуска программ с этим троянцем Android.Spy.305.origin соединяется с управляющим сервером http://client.api-*******.com, отправляя запрос следующего вида:
http://client.api-*******.com/v3/upd?app_id=com.mobilescreen.recorder&device_id=86804202*******&access_token=MSDK-10-ok8FmzAh
CJKf4Bo5VVHkqmWWPGShOWIUb1RPNo9t0cgrFDQx77sTGXgjhffEo&publisher=101324582&version=0&android_id=266af8c9e01d0ce
В ответ троянец получает URL для загрузки вспомогательного компонента (детектируется как Android.Spy.306.origin), который содержит основной вредоносный функционал и используется Android.Spy.305.origin при помощи класса DexClassLoader.
Далее троянец передает на сервер следующие данные:
- адрес электронной почты, привязанный к пользовательской учетной записи Google;
- список установленных приложений;
- текущий язык операционной системы;
- наименование производителя мобильного устройства;
- наименование модели мобильного устройства;
- IMEI-идентификатор;
- версию операционной системы;
- разрешение экрана;
- название мобильного оператора;
- имя приложения, в котором содержится троянец;
- идентификатор разработчика приложения;
- версию троянского рекламного SDK.
Android.Spy.305.origin способен выводить рекламные баннеры поверх интерфейса работающих приложений, а также непосредственно операционной системы Android. Также он может показывать рекламные сообщения в области уведомлений.
