Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Mixi.44.origin

Добавлен в вирусную базу Dr.Web: 2020-11-13

Описание добавлено:

SHA1-хеши:

  • 2b93a1d6e570b483959eaa801c6467bf0d5e2f59
  • bd9ce9d57098c5ac5d4b83feb93fdaf0d598fe15
  • fffa47e23f237118eaf0b6257955a759caf66d79

Описание

Вредоносная программа для ОС Android, основное назначение которой ― переход по ссылкам, а также загрузка веб-сайтов и демонстрация их поверх окон других приложений. Впервые была обнаружена в приложении Eye Care - Your close Eye Care Assistant (другое название ― Eye Care Mini —— 急速护眼), распространяемом через каталог Google Play. Троянская функциональность присутствует в нем с 2019 года и выявлена в версиях 1.2.11, 1.2.12, 1.2.14.

#drweb

Принцип действия

Инициализация трояна происходит при запуске приложения, в которое тот встроен. Для этого вызывается метод инициализации, расположенный в классе Application. В последней доступной версии 1.2.14 рассматриваемой программы вирусописатели отключили запуск Android.Mixi.44.origin, однако его код по-прежнему в ней присутствует.

После запуска троянская программа внешне работает в соответствии с ожиданиями пользователя. Пример интерфейса приложения после ее старта:

#drweb #drweb #drweb

Программная логика трояна

Android.Mixi.44.origin использует следующие сервисы, активности и широковещательные приемники:


<activity android:name="com.ad.s.cv.mg"/>
<service android:name="com.ad.s.dv.js"/>
<service android:name="com.ad.s.pa.so"/>
<receiver android:name="com.ad.s.dv.sr">
  <intent-filter>
    <action android:name="android.intent.action.BOOT_COMPLETED"/>
    <action android:name="android.net.conn.CONNECTIVITY_CHANGE"/>
    <action android:name="android.intent.action.USER_PRESENT"/>
    <action android:name="android.intent.action.ACTION_POWER_DISCONNECTED"/>
    <action android:name="android.intent.action.ACTION_POWER_CONNECTED"/>
  </intent-filter>
</receiver>
<receiver android:name="com.ad.s.dv.r">
  <intent-filter>
    <action android:name="android.intent.action.PACKAGE_REPLACED"/>
    <action android:name="android.intent.action.PACKAGE_ADDED"/>
    <action android:name="android.intent.action.PACKAGE_REMOVED"/>
    <action android:name="android.intent.action.USER_PRESENT"/>
    <action android:name="android.intent.action.DOWNLOAD_COMPLETE"/>
    <action android:name="android.intent.action.ACTION_POWER_CONNECTED"/>
    <action android:name="android.intent.action.ACTION_POWER_DISCONNECTED"/>
    <action android:name="android.intent.action.SCREEN_ON"/>
  </intent-filter>
</receiver>

Широковещательный приемник com.ad.s.dv.r

Запускает сервис com.ad.s.dv.js, а также отслеживает системные события android.intent.action.PACKAGE_ADDED и android.intent.action.PACKAGE_REMOVED, через которые троян контролирует, какие приложения устанавливает и удаляет пользователь. Информация о каждом таком действии сохраняется в базу данных. Кроме того, во время работы Android.Mixi.44.origin в оперативной памяти находятся хеш-таблицы mrefferMap и mpaddMap.

Если сведения об устанавливаемом приложении отсутствуют в mrefferMap, имя пакета приложения и дата установки добавляются в таблицу mpaddMap. Если же информация о приложении имеется в mrefferMap, троян отправляет намерение вида:


Intent i = new Intent("com.android.vending.INSTALL_REFERRER");
i.setPackage(packageName);
i.putExtra("referrer", "utm_source%vigo");

Если установлен специальный флаг, широковещательный приемник com.ad.s.dv.r инициализирует отображение окна WebView, демонстрируя его поверх других элементов интерфейса. Для этого троян эксплуатирует уязвимость Toast Overlay, которой подвержены устройства с ОС Android до версии 7.1 включительно. Android.Mixi.44.origin создает AlertDialog, задает ему тип Toast и помещает WebView внутрь этого диалога. В этом WebView выполняется загрузка веб-сайта, адрес которого поступает в команде C&C-сервера.

Широковещательный приемник com.ad.s.dv.sr

Запускает сервис com.ad.s.dv.js; при каждом срабатывании загружает на C&C-сервер 5 записей из базы данных, хранящей информацию об именах установленных и удаленных пользователем приложений, а также успешно выполненных трояном заданиях.

Сервис com.ad.s.dv.js

Запрашивает с адреса http://***.*aroom.net:9082/ovs/customer/heartBeat2.do задачи для выполнения, а также конфигурацию, включая URL, на который будут загружаться отчеты о выполненных заданиях.

Загружает 5 отчетов из базы данных на C&C-сервер. По окончании работы сервиса устанавливается его повторный запуск через определенный промежуток времени с помощью AlarmManager. Для выполнения задач запускается сервис com.ad.s.pa.so, а тип задачи задается в атрибуте extras. При этом функция запуска сервиса может работать с большим количеством типов задач, чем сам сервис в рассматриваемом образце трояна.

Сервис com.ad.s.pa.so

Выполняет основные команды.

Команда ACTION_TYPE_USER_REG ― регистрация зараженного устройства в сети злоумышленников. На C&C-сервер по адресу http://***.*aroom.net:9082/ovs/customer/reg.do отправляется следующая информация:

  • SID, UID ― текущие идентификаторы пользователя, присвоенные ему трояном;
  • androidId ― уникальный идентификатор устройства (передается значение android.provider.Settings.Secure.getString(ctx.getContentResolver(), "android_id"));
  • gid ― рекламный идентификатор Google;
  • OSVersion ― версия ОС (передается значение android.os.Build.VERSION.RELEASE);
  • version ― версия троянского приложения;
  • gpver ― версия приложения Play Маркет, установленного на устройстве;
  • wbver ― версия движка WebView.

В ответ Android.Mixi.44.origin получает присвоенные пользователю идентификаторы SID и UID, сохраняет их и запускает сервис com.ad.s.dv.js. По умолчанию значения поступающих от сервера идентификаторов являются пустыми.

Команда ACTION_TYPE_PUSH_MSG ― загрузка и отображение веб-страниц поверх окон других приложений с использованием описанного выше механизма уязвимости Toast Overlay.

Команда ACTION_TYPE_OFFER_GET ― незаметный переход по ссылкам, полученным от удаленного сервера (функция кликера). Поступающая от C&C-сервера задача содержит URL, при переходе по которому троян получает список других ссылок, по которым ему необходимо перейти. Поочередно для каждой из них с интервалом в несколько секунд запускается активность com.ad.s.cv.mg, которой задаются такие параметры окна, чтобы она не была видна пользователю. В этой активности создается WebView, в котором происходит загрузка соответствующего URL-адреса.

Если при загрузке происходит перенаправление на раздел приложения в Play Маркет, троян заносит имя этого приложения и текущее время в таблицу mrefferMap. При этом, если широковещательный приемник com.ad.s.dv.r получит информацию о том, что приложение в дальнейшем было установлено, произойдет отправка намерения вида:


Intent i = new Intent("com.android.vending.INSTALL_REFERRER");
i.setPackage(packageName);
i.putExtra("referrer", "utm_source%vigo");

Если же это приложение уже было недавно установлено и находится в списке таблицы mpaddMap, сразу же происходит отправка намерения вида:


Intent intent = new Intent("com.android.vending.INSTALL_REFERRER");
intent.setPackage(packageName);
intent.putExtra("referrer", referrer);

При этом параметры packageName и referrer из этих намерений извлекаются из ссылки, которая привела на страницу приложения в Play Маркет.

Таким образом Android.Mixi.44.origin пытается обмануть сервис аналитики, присваивая злоумышленникам установку программ, выполненную пользователем.

Новость об Android.Mixi.44.origin

Подробнее об уязвимости Toast Overlay

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке