Koodous (un escáner de AV móvil basado en la nube) no hace un análisis de este APK en particular - enlace p>
pero si observa los atributos del sujeto y del emisor para el certificado de Android, esta aplicación maliciosa es similar (contiene la cadena rtt
) a otras que se han analizado - enlace - (VirusTotal para este segundo aquí - enlace )
Este análisis muestra claramente que 8 de los 97 APK analizados por Koodous con el mismo certificado también contienen adware / malware: enlace
Si observa la sección Cadenas interesantes para el APK que ejecutó a través de VirusTotal - - verá http://api.share2w.com/stat/adrequest
, que es un dominio malicioso y URL .
Como la otra respuesta elude a (y en la misma sección de detalles descrita en el último párrafo), el APK contiene uno o más ejecutables de Linux. En la situación de su APK, al menos uno de los binarios que incluye se encontró en el sistema de archivos como /r/m/su.png
, que es el binario su
utilizado para Linux / Anroid escalada de privilegios. No tengo idea de por qué esto se convirtió en Google Play Store, pero el APK también está disponible en la tienda de aplicaciones AppChina / mercado de aplicaciones.
Además del binario su, el APK también contiene el siguiente código sospechoso / malicioso:
private void a(File object, InputStream inputStream, String string2) throws IOException, InterruptedException {
int n2;
if (!object.getParentFile().exists()) {
object.getParentFile().mkdirs();
}
String string3 = object.getAbsolutePath();
object = new FileOutputStream((File)object);
byte[] arrby = new byte[1024];
while ((n2 = inputStream.read(arrby)) > 0) {
object.write(arrby, 0, n2);
}
object.close();
inputStream.close();
Runtime.getRuntime().exec("chmod " + string2 + " " + string3).waitFor();
}
Probablemente también contiene otra lógica maliciosa, pero son suficientes para concluir que la APK es, de hecho, algún tipo de adware / malware.