Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Circle.1

Добавлен в вирусную базу Dr.Web: 2020-02-19

Описание добавлено:

Описание

Вредоносная программа для ОС Android, сочетающая в себе функции рекламного трояна и кликера. Впервые была обнаружена в каталоге Google Play, где распространялась под видом безобидных приложений. Представляет собой бота, который выполняет команды злоумышленников. Android.Circle.1 написан на языке программирования Kotlin и создан с использованием механизма Multiple APKs, позволяющего разработчикам размещать в Google Play несколько модификаций одного приложения для поддержки работы с различными устройствами.

Принцип действия

Android.Circle.1 встроен в различные приложения, такие как сборники изображений, программы с гороскопами, системные утилиты, фоторедакторы, игры и т. п. После установки они выполняют заявленные функции. При их запуске троян соединяется с управляющим сервером, передает на него сведения об инфицированном устройстве и ждет дальнейших команд.

Некоторые модификации бота после установки выдают себя за системное приложение, чтобы пользователю было сложнее обнаружить и удалить трояна. В списке установленных программ в системном меню они сопровождаются стандартным значком Android-приложения и представлены как программа с именем com.google.security.

#drweb

Структура трояна

Android.Circle.1 создан с использованием механизма Multiple APKs. Он позволяет размещать в Google Play многочисленные модификации одного приложения, которые поддерживают работу на определенных моделях устройств и процессорных архитектурах. Кроме того, в трояне реализован механизм разделения основного apk на несколько отдельных apk-файлов (split APKs), которые содержат различные компоненты программы. После установки на устройство такие apk воспринимаются операционной системой как единое приложение.

Часть вредоносных функций Android.Circle.1 вынесена в нативную библиотеку libnative-lib.so, которая располагается в одном из таких вспомогательных apk.

Прием и выполнение команд

Связь с сервером осуществляется через защищенный HTTPS-канал, при этом все передаваемые данные дополнительно шифруются алгоритмом AES.

Троян отправляет на сервер следующую информацию о зараженном устройстве:

  • packages – список установленных приложений;
  • device_vendor – производитель устройства;
  • isRooted – наличие root-доступа;
  • install_referrer – информация о ссылке, по которой было установлено приложение;
  • version_name – константа со значением «1.0»;
  • app_version – константа со значением «31»;
  • google_id – идентификатор пользователя в сервисах Google;
  • device_model – модель устройства;
  • device_name – имя устройства;
  • push_token – идентификатор Firebase;
  • udid – уникальный идентификатор;
  • os_version – версия операционной системы;
  • sim_provider – оператор мобильной связи.

После этого троян ожидает заданий, которые поступают в виде сообщений сервиса Firebase Cloud Messaging. В них содержатся команды, представляющие собой скрипты библиотеки BeanShell.

Среди выполняемых ботом действий могут быть следующие:

  • удаление значка троянского приложения из списка ПО в меню главного экрана;
  • удаление значка троянского приложения и загрузка в веб-браузере заданной в команде ссылки;
  • нажатия (клики) на интерактивные элементы на загружаемых сайтах;
  • демонстрация рекламных баннеров;
  • другие действия, для выполнения которых у трояна есть необходимые системные разрешения.

После получения заданий Android.Circle.1 сохраняет их в конфигурационный файл prefs.xml, как показано на следующем примере:

<?xml version='1.0' encoding='utf-8' standalone='yes' ?>
<map>
<string name="parent_class_name">com.app.bestwallblack.ui.HostActivity</string>
<string
name="push_data">H4sIAAAAAAAA/zTSx46jSgBA0X+pLX4N2Jhg6S2IxgFMY4JhMwKKpoAigwmt/vfRjDR3f3fnG4xrm4
ITgClOx/SSNDXYgRyC03/0Dgx9Ak5AZ4aL+C/dsx2fUAxxFTgaqlaguXY8FTpCWMXD/anbtXYp7lQTqNe0ZCPYkjWjEcWtE
xhlJcONj3MudhZ0ribzLFN000t8b/ede+zIdMgczyEUX5pkwjAfgffGd3/GVem45sHL36xX2a037TPYkF25qjzXcAtB3d9jaMo
UpF9PLtE9Z0I48t+t8LUVaavINjTwKkI/lFhOLeNEs3yesa5mV/DFEqpzqBmaybb0cXGlbdibKtJKjLljPZPsLdPgWhlaNJS8eEt
Utl+uebgZaH+1x5LdhAtzCO3l3LMDU3lhbFzNl8w6QaNsZ5JaPwnMDbjzgpDjPh3Cpy/UYeDZzH/iubveFEmEvJmnm6Sox2
Aj5gLVNeEQpLSar6rWMwuKt20v00jxgnw9pg8qKm/dw9LKubRjWjfCEJVvzfeWsRIEJnzpg2k8nosB+4xF6zS5qHsw/Tn76
kNubF7zygn6l4DdoKhZ77Bl5GFg+RjahIXs/aqpBeVZFiVNmxjFliuLovg/2AEUDQicANgB2FRRXoMTQOPYnkgyyfsEpx+wb
3LYfvQTCXYgSsa8qX/9UfR3icYInL5/fn4HAAD//xcoBbVtAgAA</string>
<boolean name="ready_to_work" value="true" />
<string name="uuid">95aefbfa-000b-45db-aa0c-e781310074d8</string>
<string name="base_url">https://circle.*****droid.ru/</string>
<string name="library_version">31</string>
</map>

где push_data – полученное через Firebase сообщение, которое упаковано в zip-архив и зашифровано Base64.

После расшифровки этого сообщения рассматриваемый пример задания имеет следующий промежуточный вид:

{"type":"deleteIcon","id":-1,"src":"H4sIAAAAAAAAAHVRTW+DMAy971dEPYFURbujHhhlElsLSHRnFIjL0oYEJek6adp/n4
F+jKq94Dy/Zz8bi7bTxhGmuNGC01orB8rRrqU5q/esgTVT+DWBuC+MNOYVvlLWwlmkTUN3Viv6VmRpVu2gdo/qkyE87o
7x+0LvtZNC0d1XS7cHVTuhlaWvp9fzjepDCRdMlyAdWZB67EkbcFPW84PJNqj8jxZEwZFMFN6p15xUBzs2NEhFkll75nw/6
KgFdymMFask8AKcE6rxJiZzMh2JRtk6z9I43ZRxGr6s4mVZbMJNXC6TYoDzG/0yQ+l7slqVYZ77QT+W1I03s86gWSlwqJK
DBAd8NiezBDE5Yz+wjhnn+T+/ByNXmnHgPdAKz2C1hDVYiy5eO0akKqOPFkwkRb1HMZZhkvFWVxtm994ZXHsNMOSxM
drg6hyuuUhqO4rGgfrZ7toXwy79Hf9lUYjn6V3zg/3s68bdR+PhR2yFEj0VPP0BuzAabPUCAAA=","hash":"","domain":"http
://circle.***idp.ru/","action_id":"","data":{}}

где src – строка с BeanShell-скриптом, который также упакован в zip-архив и закодирован Base64. После его расшифровки исходный скрипт с командой имеет следующий вид:


import android.content.pm.PackageManager;
import android.content.ComponentName;
import org.json.JSONObject;
import android.content.Intent;
import android.content.Context;
import kotlin.jvm.functions.Function0;
import kotlin.Unit;
PackageManager p = context.getPackageManager();
ComponentName componentName = new ComponentName(context, bus.getParentClass(context));
p.setComponentEnabledSetting(componentName, PackageManager.COMPONENT_ENABLED_STATE_DISABLED,
PackageManager.DONT_KILL_APP);
bus.log("string_icon_deleted", "Icon deleted");
start() {}
urlLoaded() {}
onConsoleMessage(message) {}
browserClicked(url) {}
admobTask() {}
admobLoaded() {}
admobAdError(code) {}
admobAdClosed() {}
deleteIcon() {}
onConsoleMessage(String consoleMessage) {}
newTaskPush() {}
bus.loaded();
bus.finish();

Данный скрипт выполняет удаление значка трояна из списка приложений на главном экране операционной системы.

После выполнения задания троян уведомляет об этом сервер, передавая отчет вида:

{"version_name":"1.0","app_version":"31","device_vendor":"Philips","event":"SWNvbiBkZWxldGVk\n","event_name":
"string_icon_deleted","device_model":"Philips S337","device_name":"Philips
S337","event_type":0,"os_version":"22","udid":"0c6a2d40-48a6-315c-d52c-a8b382d71e9e","type":"string"}

Индикаторы компрометации

Новость о трояне

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке