Trojan-Downloader.AndroidOS.Fav.a


Trojan-Downloader.AndroidOS.Fav.a - довольно малое незаметное приложение, функционал которого заключается в выкачивании и установке Trojan-SMS - семейство троянов, опустошающие счета пользователя.

Trojan-Downloader.AndroidOS.Fav.a при установке требует минимум разрешений и показывает иконку от легального приложения "WiFi Mouse HD".

Trojan v legalnom prilojenii WiFi Mouse HD

В данном трояне скрыт достаточно интересный функционал. После заражения мобильного устройства, первым делом троян начинает обращаться к командному серверу, на котором производит регистрацию инфицированного телефон. При отсутствии доступа к интернету, приложение завершает свои действия.

Uvedomlenie ob otsutstvii interneta

При установлении связи с командным сервером, приложение показывает пользователю некую картинку, а само начинает обрабатывать ответ сервера.

Obrabotka otveta servera

Ответ сервера закодирован алгоритмом Base64 и зашифрован алгоритмом AES. При его расшифровке можно увидеть интересный список Android приложений.

Spisok Android prilojenii
Список Android приложений, расшифрованный из ответа сервера

Это список некоторых антивирусных программ для Android.

Rasshifrovannii kod trojana
Расшифрованный код трояна

Троян проверяет наличие в системе антивирусных программ, и при их обнаружении вредоносная программа завершает свою работу.

Еще в том же ответе сервера содержаться указания к действию

Ukazaniya k deistviu trojana
Указания к действию зашифрованные в ответе сервера

В ответе сервера содержатся зашифрованные ссылки на приложения для Android (подчеркнуты красным на скриншоте). При расшифровке этих ссылок и после скачивания соответствующих файлов, была обнаружена еще одна особенность данного трояна – жадность. Жадность заключается в том, что троян последовательно скачивает 4 Trojan-SMS от двух крупнейших партнерских программ. И лишь только пятый файл, является оригинальным приложением "WiFi Mouse HD"

Трояны одной партнерской программы отличаются только конфигурационными файлами. Троянов разных партнерских программ объединяет только функционал отправки премиум SMS и использование шифрования для сокрытия своих конфигурационных файлов.

Эти троянские программы детектируются ЛК, как:

  • WiFi_Mouse_HD_v1_1p.apk  - HEUR:Trojan-SMS.AndroidOS.Opfake.a
  • WiFi_Mouse_HD_v1_1p1.apk - HEUR:Trojan-SMS.AndroidOS.Opfake.a
  • WiFi_Mouse_HD_v1_1_1.apk - HEUR:Trojan-SMS.AndroidOS.Opfake.bo
  • WiFi_Mouse_HD_v1_1_2.apk - HEUR:Trojan-SMS.AndroidOS.Opfake.bo


Даунлоадер после скачивания каждого Trojan-SMS запускает его установку. Эти Trojan-SMS выдают себя за оригинальное приложение, в данном случае "WiFi Mouse HD", поэтому система запрашивает у пользователя подтверждение на установку именно этого приложения.

Zapros na ustanovku original prilojeniya
Запрос подтверждения на установку приложения

После запуска эти трояны имитируют процесс установки, после чего отправляют премиум сообщения с зараженных мобильных устройств.

Imitaciya ustanovki WiFi Mouse HD
Имитация процесса установки приложения WiFi Mouse HD

Основная часть Trojan-SMS нацелены на русскоязычных пользователей России, Украины и Казахстана. HEUR:Trojan-SMS.AndroidOS.Opfake.a - после запуска могут отправить до 5 SMS общей стоимостью до 400 рублей.
HEUR:Trojan-SMS.AndroidOS.Opfake.bo - отправляют SMS на сумму примерно 240 рублей. Точное количество отправленных сообщений и их стоимость могут отличаться для разных стран и операторов.

В общей сумме, за все отправленные троянами премиум SMS придется заплатить около 1000 рублей.

Теперь вернемся к трояну-даунлоадеру HEUR:Trojan-Downloader.AndroidOS.Fav.a.

В работе этого трояна используются интересные домены:

  • android-google-downloads.net
  • android-google-play.net
  • android-google-apps.net
  • android-google-cache.net
  • dl2-android-appss.net
  • dl1-android-appss.net
  • dl4-android-google-apps.net


По данным сервиса Whois, DNS-серверы трех из семи доменов размещены у российского провайдера, при этом четыре домена (включая один с российским хостингом DNS-сервера) зарегистрированы на людей с русскими именами и фамилиями.

Эти домены используются для распространения всех троянов, как первоначального Trojan-Downloader, так и четырех Trojan-SMS. Даже чистое приложение "WiFi Mouse HD" скачивается с одного из этих доменов. Некоторые домены используются трояном в качестве командного сервера и сервер для отправки статистики.

В итоге: HEUR:Trojan-Downloader.AndroidOS.Fav.a оказался весьма популярным у злоумышленников. Эта вредоносная программа попадала в TOP10 заблокированных установок на телефонах пользователей с середины декабря 2012 года. На него пришелся почти 1% от числа всех заблокированных установок за этот период. Хотя он и не дотягивает до популярности Trojan-SMS – такие зловреды  детектируются практически в 20 раз чаще.