Android.FakeApp.1669 - это троян, который маскируется под различные приложения и распространяется через магазин Google Play. Из официального магазина Android он был загружен не менее 2 160 000 раз. При запуске троян подключается к вредоносному DNS-серверу для получения целевой ссылки. Он получает эту конфигурацию только при подключении к интернету через определенных провайдеров, например, провайдеров мобильного интернета.
Android.FakeApp.1669
Android.FakeApp.1669 использует модифицированный код из библиотеки dnsjava для отправки DNS-запросов. Каждый вариант трояна связан с определенным доменным именем, что позволяет DNS-серверу предоставлять разную конфигурацию каждому зараженному устройству. Имена поддоменов целевых доменов уникальны для каждого устройства и содержат закодированную информацию о нем, включая конфиденциальные данные, такие как модель и марка устройства, размер экрана, время установки, состояние заряда батареи и настройки разработчика.
Троян получает с сервера TXT-запись, содержащую закодированную конфигурацию вредоносной программы. Чтобы расшифровать содержимое TXT-записей, строку необходимо развернуть, затем декодировать в Base64 и, наконец, распаковать. Расшифрованные данные содержат ссылку, которую троян загружает в WebView, отображая содержимое сайта онлайн-казино вместо ожидаемой функциональности приложения.
Однако при обращении к трояну через интернет-соединение, отличное от целевого провайдера, или в автономном режиме он функционирует, как и было обещано, если создатели конкретного варианта предусмотрели функциональность для таких случаев.
Этот троян выделяется среди других поддельных приложений тем, что использует модифицированную библиотеку и получает свою конфигурацию с вредоносного DNS-сервера. Он распространяется через различные приложения и был загружен миллионы раз из магазина Google Play.
Indicators of Compromise
IPv4
- 113.30.188.48
- 113.30.190.193
URLs
- https://beyummycook.online
- https://checksandtips.pro
- https://dessertdreams.pro
- https://displaymoving.pro
- https://dualtext.pro
- https://enchantedmermaidcastle.pro
- https://flashpage.pro
- https://goalachievplan.pro
- https://memogen.pro
- https://travelmemo.pro
- https://wordcountapp.pro
- https://youplant.pro
SHA1
- 165e99382e787511a198d7e7868ea1e1de44e7ed
- 181a46cb4ed8a106ae048c598ef2d3a98c0a188c
- 37aa606b3f4d438ac40dbde1d2309297e5b30353
- 39d5d168a2ad92369565aaa1b0e6fc208164ffe9
- 5799a529d32038ecc27b0f4e9fec2b05ae075429
- 6367558432559eae0b8a138aaea3223fd500e758
- 86b0897c62caa10c77181f86d5aa7d7c710feabc
- 9138c39349b3d56f07e2fe0fb26749fb0ebabbc2
- 9b557feeb5a2e910b3261f31ebab1ac75d8651d4
- b350627433bb199f2aab42439755836a007e4c46
- d721a04cf9f2f3b8e80a49ef4e76cd4899e13c7c
- d962610bf1d622a3f641887a297688ca8f1866a2
- e1b676d31530915f3c4066f16563242cfeeb4633
- ebd44fa43d68bcfc09b7c4ebcff243e5e79019e3
- f413239a50a79ca5dd498d8ae97ece5f93bf0718
