Android.Backdoor.260.origin - Android-троян, предназначенный для кибершпионажа


Android.Backdoor.260.origin - вредоносная программа для ОС Android, предназначенная для кибершпионажа за китайскими пользователями. Основное ее назначение:

  • перехват СМС-сообщений;
  • запись телефонных разговоров;
  • определение координат зараженного устройства;
  • создание снимков экрана;
  • отслеживание вводимых владельцем смартфона данных.


Устанавливается Android.Backdoor.260.origin на мобильные устройства под видом приложения с именем "AndroidUpdate". Поэтому предположительно распространение трояна осуществляется под видом важного обновления ПО. Такой подход позволяет злоумышленникам обмануть потенциальных жертв и заставить их инсталлировать его.

android.backdoor.260.origin pod vidom prilojeniya androidupdate

Android.Backdoor.260.origin имеет весьма сложную модульную архитектуру. Так, например, значительная часть его вредоносного функционала сосредоточена в специально созданных вирусописателями модулях, размещенных внутри программного пакета вредоносного приложения. При своем первом запуске троянская программа извлекает следующие вспомогательные компоненты:

  • super;
  • detect;
  • liblocSDK4b.so;
  • libnativeLoad.so;
  • libPowerDetect.cy.so;
  • 1.dat;
  • libstay2.so;
  • libsleep4.so;
  • substrate_signed.apk;
  • cInstall.


После этого он пытается запустить на исполнение с root-привилегиями двоичный файл cInstall - детектируемый, как Android.BackDoor.41. Если запуск прошел успешно, то этот вредоносный модуль помещает в системные каталоги мобильного устройства ряд извлеченных ранее файлов. Также он пытается незаметно установить специализированную утилиту под названием "Substrate". Данная утилита позволяет расширить возможности приложений, а Android.Backdoor.260.origin использует ее для перехвата вводимых данных. В случае, если root-полномочия вредоносной программе предоставлены не были, то с большой долей вероятности проинсталлировать требуемые компоненты ей не удастся, и, как результат, троян не сможет корректно выполнять большинство своих функций.

В случае успешной установки всех необходимых модулей, Android.Backdoor.260.origin удаляет созданный им ранее ярлык приложения и запускает:

  • PowerDetectService - вредоносный системный сервис, активирующий работу троянского модуля libnativeLoad.so, детектируемого как Android.BackDoor.42;
  • Substrate - утилита, детектируемая как Tool.Substrate.1.origin.


Здесь стоит отметить, что сама по себе утилита Substrate не является вредоносной и даже доступна для загрузки в каталоге Google Play. В данном случае утилита была несколько модифицирована вирусописателями и интегрирована в Android.Backdoor.260.origin, в результате чего и стала являться потенциально опасной для пользователей.

Также троян задействует вредоносный компонент libnativeLoad.so, который запускает на исполнение файл detect (Android.BackDoor.45). Его основная задача - инициализация работы двоичного модуля 1.dat (Android.BackDoor.44). В свою очередь модуля 1.dat активирует работу троянской библиотеки libsleep4.so (Android.BackDoor.46), цель которой создание снимков экрана зараженного устройства в постоянном режиме, а также перехват вводимых на клавиатуре данных. Кроме того, данный модуль активирует работу и библиотеки libstay2.so (Android.BackDoor.43), предназначенной для кражи информации из телефонной книги и постоянного слежения за СМС-сообщениями и перепиской в мессенджере QQ.

Вообще троянский компонент 1.dat способен принимать от управляющего сервера следующие команды:

  • "DOW" – загрузить файл с сервера;
  • "UPL" – загрузить файл на сервер;
  • "PLI", "PDL", "SDA" – обновить вредоносные модули, а также настройки трояна;
  • "DIR" – получить список файлов в заданном каталоге;
  • "DTK" – записать содержимое заданного каталога в файл;
  • "OSC", "STK" – выполнить поиск заданного файла или каталога;
  • "OSF" – отменить поиск файла;
  • "DEL" – удалить заданный файл;
  • "SCP" – сделать снимок экрана;
  • "BGS" – включить микрофон и начать аудиозапись;
  • "GPRS" – начать отслеживание местоположения пользователя.


Примечательным является то, что часть полученных команд выполняется модулем 1.dat самостоятельно. В то же время, для исполнения остальных он обращается к функционалу других троянских библиотек, которые тесно взаимодействуют между собой через сокеты UNIX с использованием следующих двухбайтовых команд:

  • 0x2633 – начать аудиозапись на встроенный микрофон;
  • 0x2634 – остановить аудиозапись;
  • 0x2635 – обновить файл конфигурации для записи аудио;
  • 0x2629 – скопировать номера контактов;
  • 0x2630 – скопировать номера контактов;
  • 0x2631 – скопировать СМС-сообщения;
  • 0x2632 – скопировать журнал вызовов;
  • 0x2628 – передать информацию о местоположении мобильного устройства;
  • 0x2532 – получить имя процесса, в котором пользователь работает в данный момент;
  • 0x2678 – используется для передачи введенных пользователем данных.