SHA1-хеш:
- 1d5cb15e64612fcf35eaf8af5e5a3303a2a3258a (libcore64.jar)
Описание
Троянский модуль, который злоумышленники внедряют в Android-программы. Например, он был обнаружен в системном приложении для беспроводного обновления прошивки смарт-часов Elari Kidphone 4G. Модуль используется для сбора и отправки конфиденциальной информации на удаленный сервер, а также приема и выполнения различных команд.
Принцип действия
Модуль представляет собой файл libcore64.jar, который в зашифрованном виде хранится в программном пакете основного приложения. При первом включении устройства встроенный в эту программу вредоносный код (Android.DownLoader.3894) расшифровывает и запускает его. При последующих включениях устройства, а также при изменении сетевого подключения модуль запускается автоматически.
После запуска Android.DownLoader.812.origin с определенной периодичностью подключается к C&C-серверу, расположенному по адресу hxxp://mad[.]dwphonetest[.]com:58801/msg/pull. По умолчанию интервал подключений составляет 8 часов, но может быть изменен соответствующей командой сервера.
При успешном подключении троян отправляет на C&C-сервер запрос, содержимое которого шифруется base64. В этом запросе могут передаваться следующие данные:
- d0 — version — версия троянского модуля;
- d1 — session — константа APP-REQ, заменяется значением s20;
- d2 — devid — уникальный идентификатор устройства (IMEI-идентификатор для GSM-устройства, MEID- или ESN-идентификатор для CDMA-устройства);
- d3 — utdid — уникальный идентификатор устройства UserTrack Device Identity;
- d4 — man — наименование производителя устройства;
- d5 — mod — наименование модели устройства;
- d6 — osv — версия установленной на устройстве операционной системы;
- d8 — lang — язык, установленный на устройстве по умолчанию;
- d9 — operator(mcc mnc) — идентификатор мобильного оператора (MCC+MNC);
- da — loc — данные геолокации;
- db — msisdn — мобильный номер;
- dc — iccid — идентификатор SIM-карты;
- dd — imsi — уникальный идентификатор абонента мобильного оператора;
- de — dldir — расположение стандартной директории для загрузок файлов из интернета (для встроенной памяти присваивается значение data, для SD-карты — sd);
- df — avaisize — свободный объем встроенной памяти устройства;
- dg — totalsize — общий объем встроенной памяти устройства;
- c1 — appid — значение RSOTA_APP_ID из метаданных приложения;
- c2 — carrier_pkgname — имя пакета приложения, в которое встроен троян;
- c3 — channel — значение RSOTA_CHANNEL_ID из метаданных приложения;
- c4 — carrier_version — значение coreVersion;
- c5 — silent — параметр, указывающий на то, является ли приложение с троянским модулем системным или нет;
- c6 — capability — значение 01|02|03|04|05|08;
- c7 — stub_version — значение agentVersion.
В ответ троян может получить следующие команды:
- r2 — cycle — изменить частоту запросов к C&C-серверу;
- a0 — applist — получить параметры, необходимые для загрузки, запуска и установки приложений:
- a3 — pkgname
- a5 — appversion
- a20 — versionCode
- a4 — appname
- a6 — brief
- a7 — objecturi
- a8 — objectsize
- a9 — icon
- a10 — start
- a11 — type
- a12 — action
- a13 — class
- a14 — extra
- a1 — correlator
- a2 — taskid
- a15 — operation — выполнить действие в соответствии с указанным значением параметра:
- 1 — загрузить и установить приложение;
- 2 — загрузить, установить и запустить приложение;
- 3 — запустить заданное приложение;
- l0 — link — загрузить заданный URL;
- a21 — caplist — получить параметры, необходимые для удаления приложений, а также собственного обновления:
- a3 — pkgname
- a1 — correlator
- a2 — taskid
- a7 — objecturi
- a8 — objectsize
- a5 — appversion
- a15 — operation — выполнить действие в соответствии с указанным значением параметра:
- 4 — удалить заданное приложение;
- 8 — обновить троянский модуль.
После успешного или неудачного выполнения задания троян связывается с C&C-сервером по адресу hxxp://mad[.]dwphonetest[.]com:58802/msg/post и отправляет на него запрос с номером и статусом задачи.
Подробнее об Android.DownLoader.3894
