Android.Titan.1 führt seine Aktivitäten dank diverser Services durch. So prüft die Malware, ob Android.Titan.1 durch den Nachrichten-Manager gestartet wurde. Wenn dies nicht der Fall ist, werden entsprechende Systemeinstellungen angepasst. Anschließend wartet der Trojaner auf einen Internetzugang, baut eine Verbindung zum Verwaltungsserver auf und lädt Daten zum Endgerät einschließlich des Endgerätemodells, der Version des Betriebssystems, der MAC-Adresse des Endgeräts, IMEI-, IMSI- und Telefonnummer des Opfers hoch.
Der Schädling kann folgende Befehle starten:
- Service für Prozesse der Anwendung com.kakao.talk starten;
- Service zum Vorschieben von Telefonnummern starten;
- Anrufparameter (regulär, ohne Ton, mit Vibration) und Töne anpassen;
- Service zum Austausch mit Kurznachrichten starten;
- Service für Anrufe starten (beim Anruf wird der Bildschirm gesperrt);
- Daten zu Telefonkontakten an den Server schicken;
- Service zum Anzeigen von Benachrichtigungen und entsprechenden Bildern starten.
Ferner bietet Android.Titan.1 die Möglichkeit des verdeckten Anrufes. Damit können die Cyber-Kriminellen einen kurzen Anruf tätigen, um das Gerät aus dem Stand-by-Modus aufzuwecken. Anschließend wird der Bildschirm wieder gesperrt, um zu vermeiden, dass der Benutzer Verdacht schöpft.
Android.Titan.1 ist in der Lage, alle eingehenden Kurznachrichten auf dem Verwaltungsserver zu überwachen und diejenigen zu verstecken, die beim User den Verdacht erwecken, Opfer von Cyber-Kriminellen zu sein. Wenn das Versenden von Daten zu einem Zeitpunkt nicht möglich ist, werden sie lokal gespeichert. Bei einer aktiven Internetverbindung werden sie in die Warteschlange zum Versenden gestellt.
Darüber hinaus verfügt Android.Titan.1 über eine weitere Funktion: Jede Minute prüft er, ob der Benutzer einen Anruf getätigt hat. Gesprächsmitschnitte werden dann in einer .amr-Datei gespeichert. Diese wird bei vorhandener Internetverbindung auf einen Remote-Server hochgeladen. Wenn es keine Internetverbindung gibt, wird diese in die Warteschlange gestellt. Auf diese Weise kann der Schädling ein- und ausgehende Anrufe von bestimmten Telefonnummern sperren, Anrufe annehmen und Daten aus dem Systemprotokoll löschen.
Die Besonderheit des Trojaners liegt darin, dass seine Funktion als Unix-Bibliothek (als Android.Titan.2 bezeichnet) entwickelt wurde, denn die meisten böswilligen Anwendungen für Android verfügen über eine .dex-Datei. Beim Android.Titan.1 wird jedoch die .dex-Datei nur als Hilfskomponente verwendet, was beim Erstellen von Android-Trojanern eher selten anzutreffen ist. Daher können einige Antivirenprogramme diese Art von Malware nicht erkennen.
Die Sicherheitsanalysten von Doctor Web sind der Meinung, dass Android.Titan.1 immer noch in der Entwicklung ist, weil mehrere Fehler vorhanden sind und einige Funktionen noch ungenutzt sind. Deshalb ist davon auszugehen, dass der Schädling auf jeden Fall wieder auftaucht.
Die Sicherheitsanalysten von Doctor Web haben den technischen Support des Cloud-Services, in dem sich der Schädling eingenistet hat, informiert. Die Webseite, von der der Trojaner vor kurzem noch heruntergeladen werden konnte, ist nicht mehr online. Allerdings können die Cyber-Kriminellen den Schädling immer noch auf einer anderen Webseite platzieren.