SHA1:
- 15962a1dd8f9b52891f9b62461e42541d7c182fe
Троянец-загрузчик, работающий на устройствах под управлением ОС Android. Впервые был найден в каталоге Google Play, где распространялся под видом приложения Turbo VPN – Unlimited Free VPN & Proxy, предназначенного для работы с VPN-сетями. Android.DownLoader.818.origin основан на проекте с открытым исходным кодом OpenVPN for Android.
При запуске троянец запрашивает доступ к SD-карте мобильного устройства, показывая следующее сообщение:
После получения разрешения от пользователя Android.DownLoader.818.origin запрашивает доступ к функциям администратора:
Успешно став администратором устройства, троянец скрывает свой значок из списка приложений главного экрана. Для этого он делает недоступной активность, по которой выполняется его запуск.
Далее Android.DownLoader.818.origin с использованием своего сервиса com.turbo.free.vpn.util.VPNService загружает с сервера https://cdn.*****vpn.host файл Addon.apk, который записывает во внешнее хранилище данных (SD-карту или доступную для пользователя область встроенной памяти мобильного устройства). Скачиваемый файл представляет собой рекламного троянца Android.HiddenAds.710, однако в зависимости от настроек сервера с него могут быть получены и другие файлы.
После загрузки файла Android.DownLoader.818.origin каждые 20 секунд предлагает пользователю установить его, показывая стандартное системное диалоговое окно:
Это происходит до тех пор, пока владелец зараженного устройства не согласится на установку приложения.
Android.DownLoader.818.origin также регистрирует широковещательный приемник com.turbo.free.vpn.util.VPNConnection, который запускает троянский сервис com.turbo.free.vpn.util.VPNService при наступлении следующих системных событий:
- android.net.conn.CONNECTIVITY_CHANGE – подключение или отключение от Интернета;
- android.net.wifi.WIFI_STATE_CHANGED – включение или отключение wi-fi-модуля;
- android.intent.action.BOOT_COMPLETED – загрузка операционной системы.
