SHA1-хеш:
- ce71efb93cf4d79bf431d8edfbae7b8b7b55fe44
Описание
Троянская программа-шпион для Android-устройств, выявленная в одной из модифицированных злоумышленниками версий картографического приложения Alpine Quest. Она собирает и передает атакующим конфиденциальные данные пользователей, включая сведения об их местоположении и контактах из телефонной книги.
Принцип действия
При первом запуске программы Android.Spy.1292.origin запрашивает разрешение на доступ к внешнему хранилищу и другие необходимые разрешения, а также выполняет запрос на отключение оптимизации батареи для приложения.
После успешного получения необходимых разрешений Android.Spy.1292.origin логирует данные о контактах пользователя и обо всех файлах на внешнем хранилище устройства — эта информация вносится в словари в рабочей директории шпиона resp_dir.
Android.Spy.1292.origin использует Parse SDK, с помощью которого собирает и обменивается данными с C&C-сервером. Через класс Serv троян создает отдельный поток, в котором инициирует подключение к серверу с прописанными параметрами:
- адресом управляющего сервера (hxxps[:]//detect-infohelp[.]com/parse/);
- идентификатором приложения;
- клиентским ключом.
Далее выполняется обновление общей информации о пользователе и регистрация устройства на C&C-сервере. Троян вызывает метод connectToBase, который собирает и передает на сервер следующие данные:
- текущая дата;
- учетные записи пользователя и его номер мобильного телефона;
- версия приложения.
Затем троян вызывает метод sendDataToSrv для отправки файлов на C&C-сервер. Он обходит директорию resp_dir и передает на сервер имеющиеся в ней объекты с собранной информацией:
- лог с данными о файлах;
- лог с данными о контактах из телефонной книги.
После этого Android.Spy.1292.origin вызывает метод requestTask для проверки доступных для скачивания с управляющего сервера вредоносных модулей. Если сервер отвечает положительно, троян загружает заданные модули и динамически выполняет их с использованием DexClassLoader. При анализе в числе прочих были выявлены модули для похищения заданных злоумышленниками пользовательских файлов — в частности конфиденциальных документов.
Далее троян использует метод pingTele для дублирования информации о пользователе в Telegram-бот hxxps[:]//api[.]telegram[.]org/bot****95****:****hij-*****_Z5*****HijN4y*****/, которому отправляются:
- текущая дата;
- учетные записи пользователя и его номер мобильного телефона;
- версия приложения.
Android.Spy.1292.origin также отслеживает координаты зараженного устройства и изменение его местоположения через GPS и мобильные сети, передавая соответствующую информацию на C&C-сервер и в Telegram-бот. Логирование местоположения выполняется при каждом запуске приложения, а также через метод onLocationChanged, который вызывается при изменении локации.
Кроме того, в трояне реализован метод noteLocation, с помощью которого шпион записывает все локации в отдельный файл. Если размер этого файла превышает 100 МБ, он удаляется, и вместо него создается новый.
