Троянская программа, заражающая мобильные Android-устройства. Предназначена для незаметной отправки СМС-сообщений и совершения телефонных звонков, а также сбора различной конфиденциальной информации. Отличается от большинства Android- троянцев тем, что весь ее вредоносный функционал сосредоточен в специальной Unix-библиотеке, в то время как dex-файл Android.Titan.1 используется в качестве вспомогательного компонента. После установки на целевом устройстве Android.Titan.1 создает на главном экране операционной системы ярлык и ожидает своего запуска пользователем.
После того как владелец зараженного Android-устройства запустит троянца, созданный им ранее ярлык удаляется. Также троянцем удаляется последний СМС-диалог, сохраненный в памяти устройства, и запускается вредоносный сервис com/Titanium/Synchronous/praesunt. Последующие запуски Android.Titan.1 выполняются автоматически при каждом включении операционной системы.
Успешно активированный сервис com/Titanium/Synchronous/praesunt запускает сервис com/Titanium/Synchronous/adipiscing, который, в свою очередь, может выполнять следующие функции:
- «MAINSTART»
- «MSGUPLOAD»
- «SCRUPLOAD»
- «VOCUPLOAD»
Функция «MAINSTART»
Циклично выполняет запуск сервиса com/Titanium/Synchronous/praesunt, поддерживая тем самым постоянную работу троянца. Кроме того, данная функция проверяет, какое приложение является менеджером СМС-сообщений по умолчанию, и, если это не Android.Titan.1, пытается назначить его таковым при помощи стандартной системной функции android.provider.Telephony.ACTION_CHANGE_DEFAULT.
Также данная функция отправляет на управляющий сервер следующую информацию о зараженном мобильном устройстве:
- версия операционной системы;
- номер телефона пользователя;
- данные о сетевом подключении;
- MAC-адрес;
- IMEI-идентификатор;
- IMSI-идентификатор.
В ответ сервер может прислать следующие команды:
- запустить сервис com/Titanium/Synchronous/desine, задачей которого является поиск и завершение работы всех процессов, относящихся к приложению com.kakao.talk;
- запустить сервис com/Titanium/Synchronous/factum, выполняющий подмену телефонных номеров в книге контактов;
- изменить параметры вызовов устройства (беззвучный, вибровызов или обычный), а также задать уровень громкости сигнала вызова;
- запустить сервис com/Titanium/Synchronous/factum в режиме, в котором выполняется отправка СМС-сообщения на заданный номер;
- запустить сервис сервис com/Titanium/Synchronous/factum в режиме, в котором осуществляется телефонный звонок на заданный номер (во время звонка экран устройства переводится в неактивное состояние, аналогичное режиму ожидания);
- отправить на сервер информацию о сохраненных в телефонной книге контактах (загружаются имена и соответствующие им номера телефонов);
- запустить сервис com/Titanium/Magister/posursum, выполняющий демонстрацию в панели уведомлений заданного текста и сопровождающего его изображения.
Функция «MSGUPLOAD»
Предназначена для сбора информации обо всех входящих СМС-сообщениях (отправитель, дата и время отправки) и загрузки полученных сведений на управляющий сервер. В случае если соединение с сервером установить невозможно, информация сохраняется в локальную базу данных и отправляется позднее.
Функция «SCRUPLOAD»
Отслеживает состояние экрана устройства (активен или находится в режиме ожидания) и отправляет эти данные на сервер.
Функция «VOCUPLOAD»
Предназначена для сбора информации о совершаемых пользователем звонках и отправки этих данных на сервер.
Сервис com.Titanium.Accipite.pipeline
Активируется в следующих случаях:
- при поступлении очередного СМС; выполняет проверку входящих сообщений и сокрытие от пользователя части из них в соответствии с настройками троянца. При этом информация обо всех пришедших СМС передается на управляющий сервер через функцию «MSGUPLOAD»;
- при загрузке операционной системы; активирует основной сервис троянца через вызов функции «MAINSTART»;
- троянцем каждую минуту отслеживается состояние мобильного устройства и выполняется проверка, не совершает ли пользователь телефонный звонок. Если это так, звонок записывается в amr-файл и помещается в рабочий каталог Android.Titan.1, после чего через вызов сервиса com/Titanium/Synchronous/adipiscing с параметром «VOCUPLOAD» передается на сервер. Аналогичным образом отслеживается и состояние экрана, после чего полученная информация передается на сервер через вызов функции «SCRUPLOAD».
Троянец способен блокировать определенные звонки, а также автоматически отвечать на них. При этом соответствующая информация о телефонных разговорах удаляется из системных журналов.