SHA1-хеш:
- 59bc8cd2996f071ad29d8b8cfa9089bbf6a6b241
Описание
Троян, встраиваемый в модификации мессенджера WhatsApp и маскирующийся под классы библиотек от Google. Имена вредоносных классов: com.google.android.app.contex и androidx.activity.app.androidx. Во время использования приложения-носителя он выполняет запросы к одному из C&C-серверов:
- https[:]//googapis[.]org
- https[:]//apisgoogle[.]org
В ответ троян получает две ссылки. Одна предназначена для русскоязычных пользователей, другая ― для всех остальных. Далее он демонстрирует диалог с загружаемым с сервера содержимым, и когда пользователь нажимает на кнопку подтверждения, загружает соответствующую ссылку в браузере.
