15/07/19
Вредоносная программа получила имя Android.Backdoor.736.origin. Она распространяется под видом приложения OpenGL Plugin для проверки версии графического интерфейса OpenGL ES и загрузки его обновлений.
При запуске Android.Backdoor.736.origin запрашивает доступ к нескольким важным системным разрешениям, которые позволят ему собирать конфиденциальную информацию и работать с файловой системой. Кроме того, он пытается получить допуск к показу экранных форм поверх интерфейса других программ.
Android.Backdoor.736.origin постоянно активен в фоновом режиме и может запускаться не только через значок или ярлык, но также автоматически при старте системы и по команде злоумышленников через Firebase Cloud Messaging. Основной вредоносный функционал троянца расположен во вспомогательном файле, который зашифрован и хранится в каталоге с ресурсами программы. Он расшифровывается и загружается в память при каждом старте Android.Backdoor.736.origin.
Бэкдор поддерживает связь с несколькими управляющими серверами, откуда получает команды злоумышленников и куда отправляет собранные данные. Кроме того, киберпреступники могут управлять троянцем через сервис Firebase Cloud Messaging. Android.Backdoor.736.origin способен выполнять следующие действия:
- передать на сервер информацию о контактах из телефонной книги;
- передать на сервер информацию об СМС-сообщениях (в исследованной версии троянца для этого нет необходимых разрешений);
- передать на сервер информацию о телефонных вызовах;
- передать на сервер информацию о местоположении устройства;
- загрузить и запустить apk- или dex-файл с использованием класса DexClassLoader;
- передать на сервер сведения об установленных программах;
- скачать и запустить исполняемый файл;
- загрузить файл с сервера;
- отправить заданный файл на сервер;
- передать на сервер информацию о файлах в заданном каталоге или о файлах на карте памяти;
- выполнить shell-команду;
- запустить активность, заданную в команде;
- загрузить и установить Android-приложение;
- показать уведомление, заданное в команде;
- запросить заданное в команде разрешение;
- передать на сервер список разрешений, предоставленных троянцу;
- не позволять устройству переходить в спящий режим в течение заданного времени.
Все передаваемые на сервер данные троянец шифрует алгоритмом AES. Каждый запрос защищается уникальным ключом, который генерируется с учетом текущего времени. Этим же ключом шифруется ответ сервера.
Android.Backdoor.736.origin способен устанавливать приложения сразу несколькими способами:
- автоматически, если в системе есть root-доступ (с использованием shell-команды);
- при помощи системного менеджера пакетов (только для системного ПО);
- показав стандартный системный диалог установки программ, где пользователь должен согласиться на инсталляцию.
Компания «Доктор Веб» уведомила корпорацию Google о троянце, и на момент публикации этого материала он уже был удален из Google Play.
