SHA1:
- 623c8b9aba835fdef20c8e8f489270894129374a
Троянская программа, работающая на мобильных устройствах под управлением ОС Android. При наличии root-доступа может устанавливаться другими вредоносными программами в системный каталог /system/app как приложение с именем EmailServiceCore.apk (имя программного пакета – com.android.system.op.email). Android.Triada.3.origin скачивает из Интернета и запускает дополнительные модули троянцев семейства Android.Triada. Кроме того, он обеспечивает взаимодействие этих модулей с управляющим центром.
Android.Triada.3.origin вызывает у каждого подконтрольного модуля метод heartbeatRequest и получает в ответ от них определенные данные. Помимо этого троянец собирает следующую информацию:
- IMEI-идентификатор зараженного устройства;
- IMSI-идентификатор SIM-карты;
- название модели устройства;
- версия ОС;
- размер экрана;
- информация об оперативной памяти;
- имена и версии загруженных троянских модулей.
Полученные данные шифруются и упаковываются в zip-архив. Android.Triada.3.origin периодически обращается к своему управляющему серверу, выбирая один из адресов из имеющегося списка. После подключения к серверу вредоносная программа загружает на него всю собранную ранее информацию. В ответ троянец может получить команды и определенные данные, которые затем распределяются между модулями.
Android.Triada.3.origin может также получать от сервера новые настройки (например, изменение интервала обращения к удаленному узлу или обновление его адреса), а также команды на загрузку новых модулей. Скачиваемые плагины помещаются в рабочий каталог /data/data/<имя_пакета>/files/moduleinfo троянца и хранятся там в зашифрованном виде. Перед загрузкой модулей в процессы приложений Android.Triada.3.origin расшифровывает их, а после загрузки удаляет все расшифрованные копии.
