Тематика каждой группы посвящена, как правило, одной конкретной взломанной игре или набору взломанных игр — киберпреступники рассчитывали привлечь внимание потенциальных жертв, заинтересованных в бесплатном использовании популярного платного контента.

Почти все сообщения на стене группы являются ссылками на сайты, якобы содержащие игры и приложения для платформы Android. То же самое касалось раздела «Ссылки». На деле единственной целью создания этих сайтов было распространение различных версий Trojan-SMS.AndroidOS.Podec.

Администратором всех сообществ-клонов является пользователь «Вконтакте» с ID “kminetti”; на его странице проводится реклама указанных выше сообществ. Аккаунт ведется с 12 октября 2011 г., с 2012 года на стене начали размещать ссылки на сайты и сообщества, распространяющие вредоносные приложения для мобильных платформ.

Попавший в «Лабораторию Касперского» образец мобильного троянца маскируется под популярное приложение Minecraft – Pocket Edition. Размер файла – 688 килобайт, что является преимуществом в глазах неопытных пользователей с медленным и/или дорогим интернетом. Размер официального приложения составляет от 10 до 13 мегабайт.

После запуска приложение запрашивает права администратора устройства; цель данного шага – противодействовать своему удалению как со стороны пользователя, так и со стороны защитных решений. Если пользователь отказался выдать права администратора, троянец повторяет свой запрос до тех пор, пока не получит желаемое. Нормальная работа с устройством при этом, фактически, невозможна.

После того, как Trojan-SMS.AndroidOS.Podec получил привилегированный доступ, происходит загрузка (со стороннего ресурса) и установка на SD-карту устройства легитимного приложения Minecraft. Такое поведение настраивается в конфигурационном файле, поставляемом вместе с троянцем; в этом же файле указана ссылка на скачивание легитимного APK-файла. В то же время конфигурационный файл может и не содержать ссылки на приложение, в этом случае троянец просто прекращает заметную пользователю активность после запроса привилегий.

Далее троянец удаляет свой ярлык из списка приложений и заменяет его ярлыком настоящего приложения. При этом неочевидные следы троянца остаются в списке установленных приложений и списке администраторов устройства:

Управление поведением Trojan-SMS.AndroidOS.Podec происходит с помощью командных серверов. Используется схема, при которой троянец обращается по протоколу HTTP к серверу и ждет SMS-сообщения с командами, управляющими его поведением. Trojan-SMS.AndroidOS.Podec использует основной и резервный списки доменных имен командных серверов – выбор конкретного центра управления происходит по случайному алгоритму. Если от основного сервера нет ответа в течение трёх дней, то используется резервный список имен. Таким образом реализуется адаптивный механизм связи с командными серверами, позволяющий обходить возможные блокировки доменных имен.

Доменные имена командных серверов и весь трафик (как HTTP, так и SMS) шифруются алгоритмом шифрования AES в режиме CBC/NoPadding с 128-битным ключом. Ключ шифрования и вектор инициализации изначально находятся в файле fXUt474y1mSeuULsg.kEaS (название данного файла отличается от модификации к модификации), расположенном в папке assetsисходного приложения. Большая часть файла представляет из себя мусор; полезная информация содержится в нем между тегами, например, [a]строка[/a].

Из расположенных между тегами строк получаются необходимые параметры шифрования (ключ и вектор) в зашифрованном виде. Далее они расшифровываются при помощи простых замен одних подстрок на другие.

Команды в расшифрованном виде представляют собой XML-документ, теги которого обозначают определенную команду, а содержимое тегов – ее параметры. Набор возможностей Trojan-SMS.AndroidOS.Podec, реализуемых посредством команд:

1. Сбор информации об устройстве (оператор, IMEI, номер телефона, язык интерфейса, страна и город проживания и т.д.).
2. Получение списка установленных приложений.
3. Получение информации об USSD.
4. Отправка SMS.
5. Установка фильтра на входящие сообщения.
6. Установка фильтров на входящие и исходящие звонки.
7. Показ пользователю рекламы (отдельная нотификация, открытие страницы, диалог и другие виды демонстрации рекламного контента).
8. Удаление заданных сообщений.
9. Удаление заданных записей о звонках.
10. Загрузка на сервер злоумышленников исходного HTML-кода заданной ими страницы.
11. Выполнение DDoS-атаки, накручивание счетчика посещений сайтов.
12. Осуществление подписки пользователя на платный контент.
13. Самообновление.
14. Осуществление исходящего вызова.
15. Выгрузка входящих сообщений по заданным центром управления условиям.
16. Удаление заданного центром управления приложения.

Общая схема работы Trojan-SMS.AndroidOS.Podec приведена ниже.