Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Android.DownLoader.473.origin

Добавлен в вирусную базу Dr.Web: 2016-12-10

Описание добавлено:

SHA1:

  • 52688de509b469de93457ffa5ff4a601ef0cddf7
  • 5ca45ba6d15c44b478b6dceb26a72f783edf7871 (Android.DownLoader.1742)
  • bbe8498c342e6a69c302b56d304410379f9ef8bb (Android.DownLoader.1745)
  • 52688de509b469de93457ffa5ff4a601ef0cddf7 (Android.DownLoader.477.origin)
  • d0e2bd66a6d2e4fc62cca97aa7b2054e1ba1fc5c (Android.DownLoader.1751)
  • 1fd5f58e596f71f2b55dcaf4c35e2de26c5e1184 (Android.DownLoader.1754)

Троянская программа для Android-устройств, обнаруженная в прошивках нескольких десятков моделей смартфонов. Основное предназначение Android.DownLoader.473.origin – незаметная загрузка и установка приложений.

Android.DownLoader.473.origin запускается автоматически при каждом включении зараженного устройства, отслеживая системное событие android.intent.action.BOOT_COMPLETED. После этого троянец ожидает подключения к Wi-Fi-сети, для чего запускает широковещательный приемник (BroadcastReceiver) на событие android.net.wifi.STATE_CHANGE.

При подключении к Интернету Android.DownLoader.473.origin соединяется с управляющим сервером, расположенным по адресу http://www.******on.com/version.xml, и получает от него конфигурационный файл с заданием. В нем указывается имя приложения, которое необходимо загрузить, ссылка на его скачивание, а также ряд других параметров. Пример такого файла показан ниже:

<update>
 <version>12</version>
 <name>Temp</name>
 <package>com.google.ePlay4Service</package>
 <url>http://push-****.**cdn.com/h5ep4.apk</url>
 <ipurl>http://pull-****.**cdn.com/getip.php</ipurl>
 <startup1>com.google.ePlay4Service</startup1>
 <startup2>null</startup2>
 <startup3>null</startup3>
 <startup4>null</startup4>
 <startup5>null</startup5>
 <startup6>null</startup6>
 <startup7>null</startup7>
 <startup8>null</startup8>
 <startup9>null</startup9>
 <country>allable</country>
 <reject>Air_7,E500H1,ARCHOS,ACHOS,Optima ,Plane ,A739,Ursus
TS270,UIT306B-W02,UIT306B-W03,YU-800,HIT 4G HT7074ML,M7L,T72HA,Penta WS704D,E7014HG</reject>
</update>

После загрузки заданного приложения троянец выполняет его незаметную установку с использованием команды pm install -r.

Среди загружаемого ПО могут быть как безобидные, так и нежелательные или вредоносные приложения. Например, Android.DownLoader.473.origin может скачивать и устанавливать рекламную программу Adware.AdBox.1.origin.

Новость о троянце

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке