SHA1:
- 4ae16eb89144b06e91c43b8c1fbcf4e07a2c13ef
- 359e073544599a0038977b41a98b5e98dca9511d
Троянская программа, работающая на мобильных устройствах под управлением ОС Android. Была обнаружена в каталоге Google Play, где распространялась под видом известных и безобидных приложений.
После запуска Android.Click.245.origin соединяется с управляющим сервером, отправляя на него запрос вида:
GET http://vkapi.ru/vk/board.php HTTP/1.1
Host: vkapi.ru
Connection: Keep-Alive
Accept-Encoding: gzip
User-Agent: okhttp/3.3.0
Промежуточный сервер проверяет IP-адрес зараженного устройства и, в зависимости от страны, где находится пользователь, отправляет троянцу ссылку на определенный сайт, который необходимо загрузить. Полученная ссылка загружается с использованием WebView. Если Android.Click.245.origin не получает задание, он загружает из Интернета и показывает на экране несколько изображений.
Если устройство подключено к Интернету через Wi-Fi, на странице открываемого сайта пользователю предлагается загрузить некое приложение. Для этого у него запрашивается номер мобильного телефона, на который приходит СМС с кодом подтверждения. После ввода этого кода жертва вместо получения ожидаемой программы подписывается на дорогостоящую услугу одного из контент-провайдеров.
Если подключение устройства к Интернету выполняется через мобильное соединение, загружаемый сайт выполняет несколько перенаправлений, и троянец открывает адрес конечного сайта в браузере Google Chrome. На этом сайте пользователю также предлагается скачать некое приложение, однако в этом случае ввод номера мобильного телефона и кода подтверждения из СМС не требуется – подписка на премиум-услугу контент-провайдера выполняется автоматически с использованием технологии Wap-Click при нажатии на кнопку «Начать загрузку» или «Скачать».
