SHA1:
- e7130afd745e17ca27c80c2dc77c3132be854173
Компонент троянца Android.Loki.16.origin, который устанавливается модулем Android.Loki.28 в системный каталог /system/bin/ в виде файла с именем xalco. Основное предназначение Android.Loki.26 – незаметная загрузка, установка и запуск приложений по команде с управляющего сервера.
Android.Loki.26 поддерживает связь с сервером, периодически отправляя на него сообщения heartbeat. В ответ он получает команды на установку и запуск приложений. Все передаваемые сообщения пересылаются в формате JSON. Пример запроса:
{
"phoneid":,
"gaid":,
"android":,
"mac":,
"imei":,
"brand",
"model",
"sdk":,
"linux_v",
"version": 1,
"tag":
}
где:
- "phoneid": – идентификатор телефона;
- "gaid": – идентификатор Google Ads;
- "android": - версия операционной системы;
- "mac": – MAC-адрес;
- "imei": – IMEI-идентификатор;
- "brand": – наименование производителя мобильного устройства;
- "model": – название модели устройства;
- "sdk": – версия SDK операционной системы;
- "linux_v": – версия ядра Linux;
- "version": – константа.
Пример задания, которое передает сервер в ответ на запрос троянского модуля:
{
"status":,
"msg":,
"data": {
"url":,
"pkg":,
"activity":;
"size":,
"md5":,
"version":
}
}
где:
- "status": – число (0 = success);
- "msg": – не используется;
- "url": – ссылка для загрузки приложения;
- "pkg": – имя пакета приложения;
- "activity": – запустить указанную программу после установки;
- "size": – размер файла;
- "md5": – значение MD5 загружаемого файла;
- "version": – не используется.
После завершения загрузки скачанные приложения устанавливаются и запускаются в фоновом режиме с помощью утилит pm и am. Вслед за попыткой установить приложение Android.Loki.26 передает на сервер отчет, в котором к первоначальному запросу добавляются параметры pkg (имя пакета) и result (вывод утилиты pm).
