SHA1:
- 9ee6d59459a879d7a07e129b93e85b24e2515bd6
Описание
Вредоносная программа-дроппер, предназначенная для установки банковских троянов семейства Android.BankBot.Coper на Android-устройства. Рассматриваемая модификация устанавливает трояна Android.BankBot.Coper.2.
Дроппер распространяется под видом банковского приложения Bancolombia Personas, однако устанавливается в систему как программа с именем Webview Update.
Принцип действия
Программный пакет Android.BankBot.Coper.1 содержит два зашифрованных алгоритмом RC4 вредоносных компонента:
- o.htm;
- PViwFtl2r3.mp3.
Их расшифровка выполняется при помощи нативной библиотеки libm3zed.so и ключа t9oMwsl6HPxVsmfxgJzh.
При запуске первым дроппер расшифровывает файл o.htm. Результирующим является троянский dex-файл, детектируемый Dr.Web как Android.BankBot.Coper.2.origin. Одной из его функций является установка другого троянского компонента. При этом дроппер контролирует его целостность и в случае удаления устанавливает вновь.
После того как дроппер запускает Android.BankBot.Coper.2.origin, он аналогичным образом расшифровывает файл PViwFtl2r3.mp3. Расшифрованный файл представляет собой apk-пакет троянского приложения Android.BankBot.Coper.2. В нем находится зашифрованный dex-файл (детектируется Dr.Web как Android.BankBot.Coper.1.origin), выполняющий основные вредоносные действия.
При этом в более ранних версиях трояна отсутствует второй этап шифрования основного троянского модуля.
Подробнее об Android.BankBot.Coper.2
Подробнее об Android.BankBot.Coper.2.origin
