Android.RemoteCode.127.origin

SHA1:

• 80b86b0f07e1136e26d7fa2a32edc2cb350638ae
• 798c2ac391ff8d566ba01be1dd784d474aef843e
• b21179ac556f67500c023375c8f7118d00abd33b
• 1c87a5646a8416c63a3f46436aad70acdfd2e96b
• 96e98103f7b9a417c73fab98cc10f86d61677f95
• 7d98c8d2f069696de96baf5f229ad0cc4adcc864
• 8ea63ac78e719de757a0368de8a3fcfce3128b53
• d6d3a6009e886630e892ded6fa5d984669aa347a
• fe874c15147f18bdbac51adefbe6f72aede5ca4c
• 70d8dc3077f5a793e45522cf36ea0eb6bafe5132
• 782e68113c59bbd5a9c29aeb89c55fc97a7fdca1
• d00104160c1b49eeba096d06c919497aabb2f348
• c1fd29723e7f3680abf617b1b303454a6dc4b174
• f1e840fc7cc9fe31412e6eec911eadc0724bc77e
• d32c71b5dd70e65e5063edc6a748e292e2f30be1
• 415918324dc12f569d08f2b2bc3541a7f0e89786
• 7812cc65e892318924ed5047c2343d5285776656
• 17814586a220c3c8161bba88207cbb32eb904dd8
• fc2853bd0148aadb0319a8cc156ba4f44cfccba6
• 47ff84252d2ab71e2ce3bf5f746a6637991f51fe
• f3eccae75e8359748e6cddeacf048b8561b8288e
• 8d92758f8597a2cb2e4dadbe1fdea26d8def6437
• 661cdb32d08eba55d4d5201735347b5bbf962ff1
• b7da8a34b13181804d7725f461f061536a0b74aa
• bdac7863f3de3af3e91ce0082b921043e6dc07ca
• f8e84cc7d493bba61b8acd5bb062166f22d05bb4
• 5454b1a2272811f3efc5c9f6e4c1654459af06a4
• ae4b467d8aa9a4866ea70d91c9149b307ea3e4b4

Троянец для ОС Android, входит в состав SDK 呀呀云 («Я Я Юнь»), который применяется при разработке ПО. Этот SDK дает возможность пользователям обмениваться друг с другом текстовыми, голосовыми и видеосообщениями. Основная задача Android.RemoteCode.127.origin – незаметная загрузка и запуск дополнительных вредоносных модулей.

Запуск Android.RemoteCode.127.origin зависит от того, каким образом разработчик инициализирует SDK в своем приложении. Обычно это происходит при старте программы в классе Application либо в какой-либо ее активности (Activity). После запуска троянец делает запрос к управляющему серверу https://hs.***bao.com/get (в некоторых модификациях – http://hs.***vv.info:9800/get) следующего вида:

{
"operatorType":"",
"model":"Philips_S307",
"osVersion":"4.4.2",
"appId":"1001305",
"vendor":"Philips",
"imei":"********0006551",
"androidId":"********743b4627",
"connectionType":"WIFI",
"mac":"**:**:**:81:77:dc",
"requestType":"jar",
"osType":1,
"ip":"***.***.137.136",
"sdkVersion":"1.0.3",
"appVersion":"1.8",
"longitude":"",
"latitude":"",
"imsi":"",
"uuid":"************4807a86dac9556ff07de",
"idfa":""
}

При этом, если у приложения с троянским SDK есть полномочия на определение координат, в запросе указывается последнее известное местоположение зараженного устройства.

В ответ сервер может отправить вредоносной программе задание вида:

{
"result":0,
"msg":null,
"tasks":[
 "tasks":[
{
"id":356,
"scriptType":null,
"type":0,
"binUrl":" " https://v.***aya.cn/core_xd_356 ,
"md5":"92801af38f6dfe38fbb8b63748006deb",
"className":"com.x.d.core.service",
"function":"main",
"functionParam":null,
"shell":"",
"pkage":"",
"exeDelay":0,
"scheduleTime":null,
"cancel":null,
"partnerId":null,
"countLimitType":2,
"binNumber":"leyou",
"taskType":1,
"activity":null,
"taskFlag":0,
"msgId":"********f6a7f20cbe2499cf"
}
]
}

В нем указывается ссылка на загрузку одного из вредоносных модулей, например, Android.RemoteCode.126.origin. После скачивания модуль запускается с использованием класса DexClassLoader.

Новость о троянце