SHA1:
- bc202804250692ffa889d96f056cc86422efbeb1
Детектирование программной платформы (SDK) Excelliance, которую разработчики ПО встраивают в Android-игры и приложения. Она предназначена для оптимизации процесса обновления, однако может работать как троянец-загрузчик, скачивая другие программы.
Android.DownLoader.558.origin представляет собой jar-пакет с именем main2.jar. Он хранится в зашифрованном виде в каталоге /assets вместе с другими ресурсами программы, в которую он встроен. При первом запуске программы или игры этот пакет расшифровывается и запускается. В дальнейшем он самостоятельно начинает работу при каждом подключении мобильного устройства к Интернету.
Android.DownLoader.558.origin отслеживает состояние сетевого соединения и при каждом включении или отключении от Интернета проверяет доступность управляющего сервера http://sdk-o******eota.com. При обращении к нему троянец передает запросы вида:
/picksingleapk.php?chid=61762&imei=000000000000000&imsi=310260*******00&vercode=2***1&uid=30&
pkg=com.actgames.bbrr.sgp&api=19&release=4.4.2&sdkver=106870&brand=generic&
manufacturer=unknown&model=google_sdk&product=google_sdk...
В ответ троянец может получить команду на загрузку файлов в формате dex, apk и elf.
Запуск кода из dex-файлов выполняется автоматически с использованием класса DexClassLoader, который расположен в основном приложении (Android.RemoteCode.81.origin).
При запуске apk-файлов пользователю демонстрируется стандартное системное диалоговое окно. Однако если на устройстве имеется root-доступ, они запускаются автоматически.
Права на запуск скачанных apk- и elf-файлов задаются через системную утилиту chmod.
