Один из компонентов троянца Android.Toorch.1.origin, содержащий его основной вредоносный функционал. Представляет собой jar-файл с именем libimpl.jar, который загружается в оперативную память при помощи класса DexClassLoder. После запуска устанавливает соединение с управляющим сервером и получает от него конфигурационный файл:
<boolean name="android.library.libanalytics.action.self_update_last_is_success"
value="true" />
<boolean name="android.library.libanalytics.action.upload_installed_apps_last_is_success"
value="true" />
<boolean name="android.library.libanalytics.action.upload_device_info_last_is_success"
value="true" />
<boolean name="android.library.libanalytics.action.upload_event_last_is_success"
value="true" />
<boolean name="android.library.libanalytics.action.config_update_last_is_success"
value="true" />
Может выполнять следующие действия:
- передача сигнала об успешном запуске;
- загрузка и установка собственных обновлений;
- отправка на сервер подробной информации о зараженном устройстве (его идентификатор, наименование производителя и модели, версия SDK операционной системы, GPS-координаты и некоторые другие сведения);
- отправка на сервер списка установленных приложений;
- незаметная загрузка, установка и удаление заданных злоумышленниками программ.
