Троянская программа, предназначенная для работы на мобильных устройствах под управлением ОС Android. Может быть встроена злоумышленниками в модифицированные ими популярные программы, а также распространяться в качестве самостоятельного приложения. Главная функция Android.Backdoor.159.origin – установка и удаление приложений без ведома пользователя.
В своей работе троянец взаимодействует с двумя управляющими серверами:
http://aps.[xxx]oge.net/
http://[xxxxx]wan.comПри первом запуске Android.Backdoor.159.origin собирает следующую информацию о зараженном устройстве:
- IMEI-идентификатор;
- IMSI-идентификатор;
- наличие установленной SD-карты;
- сведения о полном и свободном объеме внутренней и внешней памяти устройства;
- список установленных приложений
после чего через POST-запрос отправляет ее на сервер http://aps.[xxx]oge.net/. Каждые 24 часа эти данные обновляются и повторно загружаются на сервер.
В ответ на отправленные данные вредоносная программа получает от удаленного центра команды в формате JSON (JavaScript Object Notation) в которых указывается список установленных приложений, подлежащих удалению (используется консольная команда pm uninstall), а также программы, которые необходимо установить (используется консольная команда pm install -r).
