SHA1:
- 7ddb13b30063213564920e04aba1cda022782a3d
- f59aef06608c31bb49e31ce47e2a333cb7a27dc2
Троянская программа, работающая на мобильных устройствах под управлением ОС Android. Злоумышленники встраивают ее в различные приложения и могут распространять через Google Play и другие каталоги программ или сайты – сборники ПО.
Android.SockBot.1 начинает работу либо после запуска содержащего троянца приложения, либо при загрузке системы. Для этого троянец отслеживает соответствующее системное событие android.intent.action.BOOT_COMPLETED.
Далее, в зависимости от версии вредоносной программы, Android.SockBot.1 подключается к управляющему серверу 136.243.***.159 или dfm.***sm.net. После успешного подключения отправляет на сервер строку «HELLO\n». В ответ троянец может получить следующие команды:
- "HELLO" – в ответ отправляет «HELLO»;
- "PING" - в ответ отправляет «PONG»;
- "SLEEP" - приостановить работу программы на 2 минуты;
- "WAIT" - приостановить работу программы на 2 секунды;
- "CREATE,ip,port" - создать соединение с клиентом на основе заданного в команде IP-адреса и сетевого порта. После этого троянец может использовать зараженное устройство в качестве прокси-сервера, пропуская через него сетевой трафик. Прокси-сервер реализуется через протокол SOCKS.
