SHA1-хеши:
- ac3dff8e8f58c9e1fc27e48f83819257d6553169 — rsota.apk (приложение Software Update, com.redstone.ota.ui)
- 00712a8154c7d399ff1905cdab34a73a1bdbde9d — rsota.odex
Описание
Детектирование троянского кода, встраиваемого в системные приложения для беспроводного обновления прошивок Android-устройств. Например, этот код был обнаружен в прошивке смарт-часов Elari Kidphone 4G, однако он может присутствовать и на других моделях и типах устройств. Его основная функциональность сосредоточена в отдельных модулях, которые он запускает в процессе своей работы.
Принцип действия
Троянские компоненты — libcore64.jar (Android.DownLoader.812.origin) и libcore.jar (Android.DownLoader.1049.origin) — хранятся внутри приложения в зашифрованном виде. При первом запуске устройства Android.DownLoader.3894 расшифровывает и запускает их, после чего при каждом последующем включении контролирует их целостность. Если при очередном включении устройства один из модулей будет отсутствовать, троян вновь расшифрует и активирует его.
Для автоматического запуска модулей Android.DownLoader.3894 устанавливает широковещательные приемники на следующие события:
- android.intent.action.BOOT_COMPLETED — включение устройства;
- android.net.conn.CONNECTIVITY_CHANGE — изменение сетевого подключения.
- Подробнее об Android.DownLoader.812.origin
- Подробнее об Android.DownLoader.1049.origin
- Новость о трояне
