Защити созданное

Другие наши ресурсы

Закрыть

Библиотека
Моя библиотека

+ Добавить в библиотеку

Поддержка
Круглосуточная поддержка

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86
Локальная тех.поддержка:
+380 (44) 224-41-60

Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Профиль

Android.DownLoader.558.origin

Добавлен в вирусную базу Dr.Web:2017-07-06
Описание добавлено:2017-07-07

SHA1:

  • bc202804250692ffa889d96f056cc86422efbeb1

Detection of the program platform (SDK) Excelliance, embedded into Android games and applications by software developers. It is designed to optimize the update process, but it can operate as a downloader Trojan and download other programs.

Android.DownLoader.558.origin is a JAR package named main2.jar. It is encrypted and stored in the directory /assets along with other program sources it is embedded into. During the first launch of a program or a game, this package is decrypted and run. After that, it starts operating on its own every time the mobile device connects to the Internet.

Android.DownLoader.558.origin tracks a network connection state, and, on each Internet connection or disconnection, it checks availability of the command and control server http://sdk-o******eota.com. When addressing it, the Trojan sends the following requests:

/picksingleapk.php?chid=61762&imei=000000000000000&imsi=310260*******00&vercode=2***1&uid=30&
pkg=com.actgames.bbrr.sgp&api=19&release=4.4.2&sdkver=106870&brand=generic&
manufacturer=unknown&model=google_sdk&product=google_sdk...

As a response, the Trojan can get a command to download DEX, APK and ELF files.

Launch of code from the DEX files is executed automatically using DexClassLoader, which is located in the main application (Android.RemoteCode.81.origin).

Once APK files are launched, a standard system dialog box is displayed to user. However, if the device has the root access, they are launched automatically.

Rights for downloaded APK and ELF files are assigned via the system tool chmod.

News about the Trojan

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно

На 14 дней

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2018

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.