SHA1-хеш:
- 7c7b9db22cb09f85371a41a2bce6f730b1fce5d9 (libcore.jar)
Описание
Вредоносный модуль, который злоумышленники внедряют в Android-программы. Например, он был обнаружен в системном приложении для беспроводного обновления прошивки смарт-часов Elari Kidphone 4G. Троян используется для сбора и отправки на удаленный сервер большого объема информации об Android-устройствах и их пользователях. Кроме того, по команде сервера он способен загружать различные файлы.
Принцип действия
Модуль представляет собой файл libcore.jar, который в зашифрованном виде хранится в программном пакете основного приложения. При первом включении устройства встроенный в эту программу вредоносный код (Android.DownLoader.3894) расшифровывает и запускает его. При последующих включениях устройства и при изменении сетевого подключения модуль запускается автоматически.
После запуска Android.DownLoader.1049.origin с определенной периодичностью подключается к C&C-серверу, расположенному по адресу hxxps://g[.]sinfoon[.]com:40081/pull. По умолчанию интервал подключений составляет 8 часов, но может быть изменен соответствующей командой сервера.
При успешном подключении троян отправляет на C&C-сервер запрос, в котором передаются сжатые при помощи GZIP данные:
- version — версия троянского модуля;
- session — константа 02;
- timestamp — текущее время;
- utdid — уникальный идентификатор устройства UserTrack Device Identity;
- appid — значение RSOTA_APP_ID из метаданных приложения;
- channel — значение RSOTA_CHANNEL_ID из метаданных приложения;
- man — наименование производителя устройства;
- mod — наименование модели устройства;
- board — название печатной платы устройства;
- imei1 — IMEI-идентификатор для GSM-устройства;
- imei2 — IMEI-идентификатор для GSM-устройства;
- meid — MEID- или ESN-идентификатор для CDMA-устройства;
- osv — версия установленной на устройстве операционной системы;
- carrier1 — уникальный IMSI-идентификатор абонента мобильного оператора;
- carrier2 — уникальный IMSI-идентификатор абонента мобильного оператора;
- stubver — константа 1.0;
- implver — константа 2.
В ответ троян может получать следующие команды и параметры:
- profile — изменение общих настроек:
- pulse — изменение частоты запросов к C&C-серверу;
- enable — отключение троянского модуля.
- configlist — изменение параметров конфигурации:
- configtype
- typeenable
- captureinterval
- reportinterval
- updd — загрузить заданный файл. Возможные параметры:
- taskid
- version
- objecturi
- objectsize
- icv
О результатах выполнения задания троян информирует C&C-сервер по адресу hxxps://g[.]sinfoon[.]com:40081/result.
Отправка данных об устройстве
В процессе работы Android.DownLoader.1049.origin передает на C&C-сервер hxxps://g[.]sinfoon[.]com:40081/data большой объем информации:
- version — версия троянского модуля;
- session — константа 02;
- utdid — уникальный идентификатор устройства UserTrack Device Identity;
- appid — значение RSOTA_APP_ID из метаданных приложения;
- channel — значение RSOTA_CHANNEL_ID из метаданных приложения;
- man — наименование производителя устройства;
- mod — наименование модели устройства;
- board — название печатной платы устройства;
- imei1 — IMEI-идентификатор для GSM-устройства;
- imei2 — IMEI-идентификатор для GSM-устройства;
- meid — MEID- или ESN-идентификатор для CDMA-устройства;
- os — установленная на устройстве операционная система;
- osv — версия установленной на устройстве операционной системы;
- carrier1 — уникальный IMSI-идентификатор абонента мобильного оператора;
- carrier2 — уникальный IMSI-идентификатор абонента мобильного оператора.
А также:
- app — appinfo — сведения об установленных приложениях:
- pkg — имя пакета;
- name — название;
- apver — версия;
- instts — дата установки;
- usenum — число запусков;
- usedur — время использования;
- power — использованный заряд аккумулятора;
- opents — время последнего запуска приложения.
- dev_id — идентификаторы пользователя:
- dpid — идентификатор Google Play Services Android ID;
- mac — MAC-адрес;
- phoneno — номер мобильного телефона;
- iccid1 — идентификатор SIM-карты;
- iccid2 — идентификатор SIM-карты;
- imsi1 — уникальный идентификатор абонента мобильного оператора;
- imsi2 — уникальный идентификатор абонента мобильного оператора.
- dev_hw — общие аппаратные характеристики устройства:
- devtype — тип устройства;
- hwv — название аппаратного обеспечения;
- resolution — разрешение экрана;
- lang — язык системы, используемый на устройстве по умолчанию.
- dev_behavior — статистика использования устройства:
- smsnum — количество СМС;
- contactsnum — количество контактов телефонной книги;
- callnum — количество телефонных звонков;
- traffic — информация о передаваемом на устройстве трафике:
- totalrx — объем принятого сетевого трафика;
- totaltx — объем переданного сетевого трафика;
- dev_loc — данные геолокации:
- gps — местоположение на основе данных GPS;
- cell — местоположение на основе данных сотовой сети.
- dev_capa — статистика использования аппаратных ресурсов устройства:
- romusage — объем доступной внутренней памяти;
- ramusage — объем доступной оперативной памяти;
- screenlight — яркость подсветки экрана;
- conntype — тип подключения к сети;
- batterylevel — уровень заряда аккумулятора;
- chargecount — счетчик циклов заряда аккумулятора;
- dischargecur — ток разряда аккумулятора;
- fgu — параметры аккумулятора (для устройств на базе процессоров Spreadtrum);
- runtime — общее время работы устройства с момента последнего включения;
- process — информация о процессах:
- psn — имя процесса;
- bts — время начала его работы;
- ets — время завершения его работы.
- cputemper — температура процессора;
- cpuusage — статистика использования процессора:
- cpuid — индекс модели;
- rate — уровень загруженности;
- freq — частота.
- signal — информация о мобильной сети:
- networktype — тип подключения к сети;
- strength — уровень мощности сигнала.
- sensor — информация о датчиках устройства:
- sensortype — тип датчика;
- sensorstatus — включен ли датчик.
- wcn — включены ли Bluetooth, Wi-Fi или GPS:
- wcntype — тип передатчика;
- wcnstatus — его статус.
- timestamp — текущее время;
- boot — время включения устройства.
- Подробнее об Android.DownLoader.3894
- Новость о трояне
