SHA1: 01ac95ebeafc6cda9d385dcf775b81de5a2326f6
Компонент червя Android.CoinMine.15, предназначенного для добычи на инфицированном Android-устройстве криптовалюты Monero (XMR). Реализован в виде сценария invoke.sh, предназначен для установки в автозагрузку вредоносной программы.
Удаляет другие вредоносные файлы:
clear_badguys() {
rm -rf $CUR_PATH/1.bin
rm -rf $CUR_PATH/7.bin
rm -rf $CUR_PATH/ak.bin
rm -rf $CUR_PATH/ip.dat
rm -rf $CUR_PATH/Test.apk
pm uninstall com.example.test
}Затем он перемонтирует папки "/", "/data", "/system" с правами на чтение и запись, после чего подменяет файлы своими сценариями:
/system/bin/install-recovery.sh
/system/bin/ddexe
/system/bin/debuggerd
/system/bin/debuggerd64
Для всех файлов, кроме install_recovery.sh, он сохраняет оригинальный файл, добавив к имени префикс "_real". Затем сценарий устанавливает и запускает droidbot.apk, после чего очищает содержимое временной папки. Сценарий, запущенный из папки /system/bin/, отслеживает состояние процесса droidbot и запускает его, если он не запущен, а также повторно устанавливает вредоносный apk, если приложение было удалено.
