Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Android.Toorch.1.origin

Добавлен в вирусную базу Dr.Web: 2015-04-11

Описание добавлено:

Троянская программа для ОС Android, замаскированная под приложение-фонарик. Может распространяться при помощи агрессивных рекламных систем, входящих в состав различных программ, а также размещаться злоумышленниками на популярных сайтах-сборниках ПО.

screenshot

После запуска троянец передает на управляющий сервер следующие данные:

  • текущее время;
  • текущее местоположение;
  • IMEI-идентификатор;
  • уникальный идентификатор устройства, сгенерированный троянцем;
  • версия троянца;
  • наличие root-доступа;
  • наличие активного подключения Wi-Fi;
  • версия ОС;
  • язык системы, используемый в данный момент;
  • производитель и модель устройства;
  • имя пакета троянца;
  • тип сетевого подключения.

Одновременно с этим Android.Toorch.1.origin пытается получить root-привилегии, для чего использует модифицированный злоумышленниками пакет com.apkol.root, входящий в состав вредоносного приложения.

В случае успеха троянец извлекает из своего программного пакета файл libandroid.jar и устанавливает его в системный каталог /system/app в качестве приложения с именем NetworkProvider.apk, после чего запускает соответствующий ему системный сервис. Это приложение, также детектируемое как Android.Toorch.1.origin, извлекает из программного пакета файл libimpl.jar (детектируется как Android.Toorch.2.origin) и загружает в оперативную память при помощи класса DexClassLoader. Данный модуль содержит основной вредоносный функционал троянца и предназначен, в частности, для незаметной загрузки, установки и удаления приложений по команде злоумышленников.

Некоторые модификации NetworkProvider.apk могут содержать в программном пакете дополнительный программный компонент в виде elf-файла, который также копируется в системный каталог /system/app как файл с именем GDataAdapter, после чего запускается на исполнение. Это приложение следит за тем, чтобы работа Android.Toorch.1.origin не нарушалась пользователем. Если принадлежащий троянцу процесс завершается, GDataAdapter выполняет его повторный запуск.

Ряд модификаций данного троянца инсталлирует в системный каталог аналогичный по функционалу NetworkProvider.apk компонент с именем GoogleSettings.apk. Данная программа содержит в себе рекламный модуль Adware.Avazu.1.origin, который впоследствии также устанавливается в систему и служит для показа рекламы. Кроме того, исходное троянское приложение-фонарик также содержит данный модуль.

Т. к. вредоносные компоненты устанавливаются троянцем в системный каталог /system/app, они не обнаруживаются антивирусными продуктами Dr.Web для Android при выполнении быстрого сканирования. В этой связи при первом обнаружении троянца семейства Android.Toorch очень важно выполнить полное сканирование мобильного устройства, удалить основной файл троянца и завершить лечение операционной системы при помощи специальной утилиты, созданной специалистами компании «Доктор Веб».

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке