SHA1:
- 9b86ac7d16710a32601017fa09e3425b0d600346
Android-троянец, представляющий собой jar-файл. Является компонентом вредоносного приложения Android.RemoteCode.106.origin и может загружаться другим его модулем, который детектируется как Android.Click.199.origin.
После запуска Android.Click.201.origin соединяется с управляющим сервером по адресу http://*.*.65.235:18080/sys/task/get/ и получает от него задания. Например:
{
"result":true,
"task":{
"id":"d23e4530-c53e-11e7-95da-555b877da92d",
"timeouts":{
"pageMin":40000,
"pageMax":60000,
"navigation":120000,
"taskMax":240000
},
"navigation":{
"url":" " http://discover*******.com/?p=1471341544&subid=123&uid=123 ,
"referer":" " http://***search.com/search/web?q=toilet+valve ,
"domains":{
" " discover*******.com :"***.**.217.236"
}
}
},
"depth":1,
"name":"",
"bid":0,
"click":{
"class":"mbad"
}
}
}
В невидимом для пользователя окне WebView троянец открывает указанный в задании URL, подменив домен полученным в задаче IP-адресом ***.**.217.236. При этом вредоносная программа заменяет значение Referer собственным: http://***search.com/search/web?q=toilet+valve). В результате целевой веб-сайт получает информацию о том, что пользователь якобы перешел на него с указанного адреса. В ответном сообщении сайта троянец указывает в Location домен сайта, отправленный ему в задании: discover*******.com.
После загрузки заданного в команде сайта Android.Click.201.origin находит на нем рекламный баннер или случайный элемент и нажимает на него, что приводит к открытию новой страницы. Троянец продолжает нажимать на баннеры и другие элементы сайта до тех пор, пока не достигнет заданного управляющим сервером числа переходов.
При загрузке целевого веб-адреса Android.Click.201.origin удаляет поле wv из значения User Agent. Благодаря этому загружаемый сайт не может определить, что переход на него бы выполнен с использованием WebView. В результате злоумышленники могут накручивать трафик, делая множественные «уникальные» запросы.
