SHA1:
- f2de6a855f04a0f5e0999c5b413347adaa1197e2
Описание
Банковский троян для ОС Android, атакующий колумбийских пользователей. Представляет собой исполняемый dex-файл и является компонентом вредоносного приложения Android.BankBot.Coper.2.
Принцип действия
После запуска Android.BankBot.Coper.1.origin скрывает значок родительского приложения Android.BankBot.Coper.2 из списка установленных программ в меню главного экрана ОС Android, а также связывается с C&C-сервером, регистрируя на нем зараженное устройство. Далее троян поддерживает связь с сервером, обращаясь к нему раз в минуту. Этот интервал, однако, может быть изменен при поступлении соответствующей команды. Кроме того, Android.BankBot.Coper.1.origin способен изменять и другие параметры своей конфигурации:
- response ― различные варианты ответа сервера. Например, REG_SUCCESS или SMS_OK_. Первый поступает при регистрации зараженного устройства, после чего троян устанавливает значение true в поле is_registered конфигурации. При получении второго троян удаляет содержимое перехваченного СМС, хранящееся в поле new_sms;
- injects_list ― список целевых приложений, при запуске которых будут демонстрироваться фишинговые окна;
- extra_domains ― список управляющих серверов;
- block_push_apps ― список программ, уведомления от которых будут блокироваться;
- minimize_apps ― список приложений, запуску которых троян будет препятствовать, возвращая пользователя на главный экран;
- uninstall_apps ― список программ, которые необходимо удалить;
- keylogger_enabled ― запустить кейлоггер.
Также могут устанавливаться таймеры для различных действий:
- block_push_delay;
- minimize_delay;
- uninstall_delay;
- keylogger_delay;
- injects_delay;
- net_delay.
Команды для выполнения вредоносных действий:
- ussd ― выполнить USSD-запрос;
- sms ― отправить СМС;
- lock_on ― заблокировать экран устройства;
- lock_off ― разблокировать экран устройства;
- intercept_on ― начать перехват СМС;
- intercept_off ― прекратить перехват СМС;
- push ― демонстрировать Push-уведомления;
- repeat_inject ― повторно отобразить фишинговое окно поверх заданного приложения;
- start_keylogger ― запустить кейлоггер;
- stop_keylogger ― остановить кейлоггер;
- uninstall_apps ― удалить указанные в команде приложения;
- kill_bot ― удалить себя, а также дроппер с устройства.
Кроме того, Android.BankBot.Coper.1.origin перехватывает и отправляет на сервер содержимое всех push-уведомлений, поступающих на устройство.
Демонстрация фишинговых окон выполняется при помощи WebView, в которое загружается принятое с C&C-сервера содержимое.
При этом все запросы к серверу и поступающие от него ответы шифруются алгоритмом AES с ключом 54569d2aaae7176335a67bf72e86736f.
Пример параметров, передаваемых при регистрационном запросе:
- xc — тип запроса. Например, bR ― регистрационный запрос. Также может иметь значение bS для отправки СМС и значение bP для других действий;
- tA — IMEI-номер устройства;
- tB — номер мобильного телефона;
- tC — страна пользователя;
- tD — установленный по умолчанию язык операционной системы;
- tE — версия операционной системы;
- tF — наименование модели устройства;
- tG — наименование мобильного оператора;
- lA — список установленных приложений;
- lB — константа;
- lL — флаг наличия установленного загрузчика;
- bI — md5-слепок устройства;
- iA — флаг getDefaultSmsPackage — является ли троян СМС-менеджером по умолчанию;
- dA — флаг device_admin_set — является ли троян администратором устройства;
- lK — флаг lock_on — заблокирован ли экран;
- iAc — флаг accessibility_enabled — имеется ли у трояна доступ к специальным возможностям;
- up — параметр uptime;
- kL — флаг keylogger_enabled — включен ли кейлоггер.
Как и троян Android.BankBot.Coper.2.origin, Android.BankBot.Coper.1.origin обладает защитой от удаления.
