SHA1: 4d1d840eedfb9bcfc481457f64dc5ac8644cca00
Троянец для мобильной платформы Google Android, предназначен для установки различных приложений по команде с управляющего сервера, а также демонстрации рекламы. Для действий, требующих повышенных привилегий, использует сервис, предоставляемый троянцем Android.Loki.1.origin.
При запуске он собирает и отправляет злоумышленникам следующую информацию:
- IMEI инфицированного устройства;
- IMSI инфицированного устройства;
- mac-адрес инфицированного устройства;
- идентификатор MCC (Mobile Country Code) — мобильный код страны;
- идентификатор MNC (Mobile Network Code) — код мобильной сети;
- версию ОС на инфицированном устройстве;
- значение разрешения экрана;
- данные об оперативной памяти (общий и свободный объем);
- версия ядра ОС;
- данные о модели устройства;
- данные о производителе устройства;
- версия прошивки;
- серийный номер устройства.
После отправки этой информации на управляющий сервер троянец получает в ответ конфигурационный файл, содержащий необходимые для его работы данные, в том числе адреса серверов, к которым троянец должен обращаться при наступлении различных событий, сведения о частоте этих обращений и т. д.
Конфигурационный файл хранится в бинарном виде в папке приложения.
Через определенные промежутки времени Android.Loki.2.origin обращается к управляющему серверу для получения заданий и во время каждого сеанса связи дополнительно передает злоумышленникам следующие данные:
- версия конфигурационного файла;
- версия сервиса, реализованного троянцем Android.Loki.1.origin;
- язык операционной системы;
- страна, указанная в настройках операционной системы;
- информация о пользовательской учетной записи в сервисах Google.
В ответ Android.Loki.2.origin получает задание либо на установку какого-либо приложения (они в том числе могут загружаться из каталога Google Play), либо на демонстрацию рекламы. Нажатия на демонстрируемые троянцем уведомления могут привести либо к переходу на тот или иной сайт, либо к установке какого-либо приложения. Загруженные на устройство программы устанавливаются с использованием сервиса, предоставляемого троянцем Android.Loki.1.origin.
Также по команде киберпреступников Android.Loki.2.origin отсылает на управляющий сервер следующие сведения:
- список установленных приложений;
- история браузера;
- список контактов пользователя;
- история звонков;
- текущее местоположение устройства.
Для взаимодействия с сервисом, который предоставляет Android.Loki.1.origin, в приложении присутствует класс com.loki.sdk.ClientService. Сервис с таким названием должен быть объявлен в манифесте приложения:
<service android:enabled=»true» android:exported="true" android:
name="com.loki.sdk.ClientService" />
Android.Loki.1.origin с интервалом в 3 секунды опрашивает все установленные на устройстве приложения и, если обнаруживает в манифесте упоминание такого сервиса, подключается к нему с помощью метода bindService класса Context.
