SHA1:
- 52688de509b469de93457ffa5ff4a601ef0cddf7
- 5ca45ba6d15c44b478b6dceb26a72f783edf7871 (Android.DownLoader.1742)
- bbe8498c342e6a69c302b56d304410379f9ef8bb (Android.DownLoader.1745)
- 52688de509b469de93457ffa5ff4a601ef0cddf7 (Android.DownLoader.477.origin)
- d0e2bd66a6d2e4fc62cca97aa7b2054e1ba1fc5c (Android.DownLoader.1751)
- 1fd5f58e596f71f2b55dcaf4c35e2de26c5e1184 (Android.DownLoader.1754)
Троянская программа для Android-устройств, обнаруженная в прошивках нескольких десятков моделей смартфонов. Основное предназначение Android.DownLoader.473.origin – незаметная загрузка и установка приложений.
Android.DownLoader.473.origin запускается автоматически при каждом включении зараженного устройства, отслеживая системное событие android.intent.action.BOOT_COMPLETED. После этого троянец ожидает подключения к Wi-Fi-сети, для чего запускает широковещательный приемник (BroadcastReceiver) на событие android.net.wifi.STATE_CHANGE.
При подключении к Интернету Android.DownLoader.473.origin соединяется с управляющим сервером, расположенным по адресу http://www.******on.com/version.xml, и получает от него конфигурационный файл с заданием. В нем указывается имя приложения, которое необходимо загрузить, ссылка на его скачивание, а также ряд других параметров. Пример такого файла показан ниже:
<update>
<version>12</version>
<name>Temp</name>
<package>com.google.ePlay4Service</package>
<url>http://push-****.**cdn.com/h5ep4.apk</url>
<ipurl>http://pull-****.**cdn.com/getip.php</ipurl>
<startup1>com.google.ePlay4Service</startup1>
<startup2>null</startup2>
<startup3>null</startup3>
<startup4>null</startup4>
<startup5>null</startup5>
<startup6>null</startup6>
<startup7>null</startup7>
<startup8>null</startup8>
<startup9>null</startup9>
<country>allable</country>
<reject>Air_7,E500H1,ARCHOS,ACHOS,Optima ,Plane ,A739,Ursus
TS270,UIT306B-W02,UIT306B-W03,YU-800,HIT 4G HT7074ML,M7L,T72HA,Penta WS704D,E7014HG</reject>
</update>После загрузки заданного приложения троянец выполняет его незаметную установку с использованием команды pm install -r.
Среди загружаемого ПО могут быть как безобидные, так и нежелательные или вредоносные приложения. Например, Android.DownLoader.473.origin может скачивать и устанавливать рекламную программу Adware.AdBox.1.origin.
