SHA1:
- 0913b7952eed88ba917c6965550de428c93b567b
- 091ea98e898c08488547fc7f02997e9913f79665
- 0bd12defaabe19429e76076c04efd5298dfe5a7b
- 0d09559555f5b4692d713a79cea6ad42d7b8e9bb
Троянец, работающий на мобильных Android-устройствах. Встроен в различные информационно-развлекательные приложения, распространяемые через каталог Google Play. Android.Click.95 открывает в браузере мошеннический веб-сайт, на котором злоумышленники пугают пользователей различным неисправностями и уязвимостями используемого мобильного устройства и предлагают установить всевозможное ПО для исправления этих «проблем».
После запуска Android.Click.95 формирует таймер AlarmManager со следующими параметрами:
- this.delayTimeFirst = 21600000 – время в миллисекундах, отсрочка до начала вредоносной деятельности после первого запуска троянца;
- this.delayTime = 120000 – время в миллисекундах, интервал между последующими открытиями мошеннического веб-сайта.
После срабатывания первого таймера вредоносная программа проверяет, установлено ли на устройстве заданное в настройках Android.Click.95 приложение:
Utils.checkApp(mContext, mContext.getPackageManager(), this.packName)Если приложение найти не удается, троянец открывает в браузере мошеннический веб-сайт, используя следующие параметры:
"http://update-***********.com/upd.php?text=notfound&model=" + Build.MODELПо этому адресу может загружаться страница c предупреждением о якобы возникшей проблеме. Например, если Android.Click.95 проверяет наличие в системе определенного веб-обозревателя, пользователю будет показано сообщение о том, что его текущий браузер является ненадежным. При этом для решения «проблемы» владельцу устройства предлагается нажать на кнопку «Установить».
Если приложение обнаруживается, Android.Click.95 использует для открытия мошеннического веб-сайта следующие параметры:
"http://update-***********.com/upd.php?text=found&model=" + Build.MODELВ этом случае в браузере загружается аналогичная страница с пугающим уведомлением, но уже без привязки к отслеживаемой программе. Например, жертву могут пугать неполадками в работе аккумулятора.
Если пользователь соглашается выполнить установку, он перенаправляется в каталог Google Play, в котором открывается та или иная рекламируемая злоумышленниками программа.
Android.Click.95 открывает мошеннический веб-сайт каждые 2 минуты с момента начала своей работы, мешая жертве нормально пользоваться зараженным устройством. При этом максимальное число переходов на нежелательный ресурс ограничено 1000.
