SHA1:
- 54ae640eae345c9b108ec33026eb03624e9840c8
- c6e337f8525e6cea5297f81af3434d9a37d6db15
- c8c051a0ef04dad228a020e9a23efa762cd5ecc0
- c2719ccef70071b0cffa0c58557c6244c4a7da06
- 39306af4647badbbd87084ea3695c2ea725e837d
- 6437914d8f905bc8b9f24a6dee553f86af1f8721
- e55b70f9edc7bb9fbdf46fef588d19ff5496312b
- 75bf69b54ffa399f19eccd705249125cf71c7e7c
- 8b077a4b8bba70c52ead31c76d8aa79c497b817c
- 8c15f223d143fd352829b6c29707ff20055d86f9
- 73c2add5c467a6e9f5722588da6db03ac6e35cb3
- 0b25c6c1706b46b87afc243366f299280b140503
- d8a63e181680ab40644ded9f572e8251e3d13756
- f25d0d6aff4ccc765684520bb8fa09388dc9d061
Троянец-загрузчик, работающий на устройствах под управлением ОС Android. Является модификацией троянца Android.DownLoader.818.origin. Впервые был обнаружен в каталоге Google Play, где распространялся разработчиком Quoac под видом игр.
При запуске троянец запрашивает доступ к SD-карте мобильного устройства, показывая следующее сообщение:
После получения разрешения от пользователя Android.DownLoader.819.origin запрашивает доступ к функциям администратора:
Успешно став администратором устройства, троянец скрывает свой значок из списка приложений главного экрана. Для этого он делает недоступной активность, по которой выполняется его запуск.
Далее Android.DownLoader.819.origin с использованием своего сервиса загружает с сервера https://cdn.*****.us файл Addon.apk, который записывает во внешнее хранилище данных (SD-карту или доступную для пользователя область встроенной памяти мобильного устройства). Скачиваемый файл представляет собой рекламного троянца Android.HiddenAds.728, однако в зависимости от настроек сервера с него могут быть получены и другие файлы.
После загрузки файла Android.DownLoader.819.origin каждые 20 секунд предлагает пользователю установить его, показывая стандартное системное диалоговое окно:
Это происходит до тех пор, пока владелец зараженного устройства не согласится на установку приложения.
Android.DownLoader.819.origin также регистрирует широковещательный приемник, который запускает троянский сервис при наступлении следующих системных событий:
- android.net.conn.CONNECTIVITY_CHANGE – подключение или отключение от Интернета;
- android.intent.action.BOOT_COMPLETED – загрузка операционной системы.
