SHA1:
- f714f6332d55fbc883f5eca4c475c0467c469612
- c39ccad90d6b49b3a5ced28dad3100f19a469df2
Троянская программа, работающая на мобильных устройствах под управлением ОС Android. Предназначена для незаметной загрузки и запуска вредоносных приложений в инфицированной системе.
Android.Xiny.60 устанавливается в системный каталог Android-смартфонов и планшетов другими троянцами семейства Android.Xiny после получения ими root-полномочий и при условии, что в системе уже установлен аналог утилиты su, который размещен по одному из следующих путей:
- /system/xbin/.pe;
- /system/xbin/.ls;
- /system/bin/.adin;
- /system/bin/.alpha.
После запуска Android.Xiny.60 извлекает из своих файловых ресурсов вспомогательные вредоносные модули и копирует их в системные каталоги:
- /system/xbin/igpi;
- /system/lib/igpld.so;
- /system/lib/igpfix.so;
- /system/framework/igpi.jar.
Затем троянец запускает модуль igpi (Android.Xiny.61), который при помощи функции ptrace внедряет в процессы системных приложений Google Play (com.android.vending) и Сервисы Google Play (com.google.android.gms, co.google.android.gms.persistent) исполняемую Linux-библиотеку igpld.so (Android.Xiny.62). Троянец может также внедрять эту библиотеку в системный процесс zygote, однако в текущей версии вредоносного приложения эта функция не используется.
После загрузки модуль igpld.so проверяет, в какой процесс он внедрился. Если это системный процесс zygote, Android.Xiny.62 начинает отслеживать запуск новых приложений. Если троянец обнаруживает вновь запущенную программу, он встраивает в ее процесс вредоносную библиотеку igpi.jar (Android.Xiny.60), которая используется для загрузки и запуска скачиваемых из Интернета дополнительных троянских плагинов.
После запуска igpi.jar начинает отслеживать состояние зараженного мобильного устройства и контролирует следующие системные события:
- android.intent.action.BATTERY_CHANGED (изменение оставшегося объема заряда аккумулятора);
- android.intent.action.SCREEN_ON – включение экрана;
- android.intent.action.SCREEN_OFF – отключение экрана;
- android.intent.action.ACTION_POWER_CONNECTED – подключение зарядного устройства;
- android.intent.action.ACTION_POWER_DISCONNECTED – отключение зарядного устройства;
- android.net.conn.CONNECTIVITY_CHANGE – изменение состояния сетевого подключения.
При наступлении одного из указанных событий троянец соединяется с управляющим сервером, который расположен по адресу http://g.om***.com/igp/api, и отправляет на него следующие сведения о зараженном устройстве:
- IMEI-идентификатор;
- IMSI-идентификатор;
- MAC-адрес сетевого адаптера;
- версию ОС;
- название модели мобильного устройства;
- язык системы;
- имя программного пакета, внутри процесса которого работает троянец.
В ответ Android.Xiny.60 может загрузить и запустить вредоносные плагины, которые после скачивания будут работать как часть того или иного атакованного приложения, однако в настоящее время распространение таких плагинов пока не было зафиксировано.
