SHA1: 738d8b637d6d6e25f5db7cfe7487dd23a4ebcb37
Trojan Downloader avec des fonctionnalités d’adware ciblant Android. Distribué sous le nom KKBrowser, le code malveillant est stocké dans le package com.kk.sdk.
Combine les fonctionnalités de downloader et d’adware. Après l'installation sur l'appareil infecté, le logiciel malveillant s'adresse aux serveurs de gestion (http://120.**.73.213:80 http://s.1329***.cc:88) et télécharge les applications spécifiées par les malfaiteurs. Si les privilèges root sont disponibles, les applications seront installées automatiquement, sinon à la demande à l'utilisateur.
Ce Trojan peut désinstaller des applications à l'insu de l'utilisateur (automatiquement s'il possède les droits root ou en affichant une requête d'autorisation) et afficher des notifications dans la barre de notifications Android. Si l’utilisateur tape sur cette notification, un site web spécifié par les cybercriminels sera chargé dans la fenêtre du navigateur.
Le malware vérifie la présence d’antivirus chinois installés, et recueille puis envoie au serveur des données sur l'appareil infecté, à savoir :
- présence d’un antivirus ;
- utilisation de navigateurs (uc, qq, 360 etc) ;
- langue de localisation de l'OS ;
- type de connexion Internet ;
- page d'accueil (la valeur interne de l'application) ;
- présence d’un accès root ;
- le fait que le Trojan est installé dans le répertoire système ;
- ID de l'appareil ;
- IMEI de l'appareil ;
- UUID de l'appareil ;
- Task_id ;
- mProduct - la version du produit ;
- version du package ;
- modèle de l'appareil ;
- version d'Android ;
- version du module publicitaire ;
- résolution de l'écran ;
- espace libre disponible sur la carte SD ;
- espace libre disponible dans la mémoire de l'appareil.
