Android.Hidden.9821

Technical information

Malicious functions:

Removes app icon from the screen.

Network activity:

Connects to:

UDP(DNS) 8####.8.4.4:53
TCP(TLS/1.0) www.google####.com:443
TCP(TLS/1.0) and####.cli####.go####.com:443
TCP(TLS/1.0) gmscomp####.google####.com:443
TCP(TLS/1.0) barabar####.me:443
TCP(TLS/1.0) md####.google####.com:443
TCP(TLS/1.0) connect####.gst####.com:443
UDP www.google####.com:443

DNS requests:

and####.cli####.go####.####.8
and####.cli####.go####.com
and####.google####.com
and####.google####.com.####.8
android####.go####.com
barabar####.me
barabar####.me.8.####.8
connect####.gst####.com
connect####.gst####.com.####.8
gmscomp####.google####.com
gmscomp####.google####.com.####.8
m####.go####.com
m####.go####.com.####.8
md####.google####.com
md####.google####.com.####.8
p####.google####.com
pla####.google####.com
www.google####.com
www.google####.com.####.8
www.ip####.com
www.ip####.com.####.8

HTTP POST requests:

barabar####.me:443/ZWU1ZTRhMzU1Zjdi/

File system changes:

Creates the following files:

/data/data/####/main.xml
/data/data/####/main.xml.bak
/data/data/####/proc_auxv
/data/data/####/wzmerccouqo
/data/data/####/wzmerccouqo.dex
/data/data/####/wzmerccouqo.dex.flock (deleted)

Miscellaneous:

Loads the following dynamic libraries:

libKXLHKy

Uses the following algorithms to encrypt data:

AES-ECB-PKCS5Padding

Uses the following algorithms to decrypt data:

AES-ECB-PKCS5Padding

Uses administrator priveleges.

Gets information about network.

Gets information about phone status (number, IMEI, etc.).

Gets information about active device administrators.

Gets information about installed apps.

Adds tasks to the system scheduler.

Gets information about sent/received SMS.

Intercepts notifications.

Рекомендации по лечению

Android

Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта

Скачать с Google Play

Завантажте
Dr.Web для Android

Безкоштовно на 3 місяці
Всі компоненти захисту
Подовження демо в
AppGallery/Google Pay

Технології

Терміни

Навчання

Міфи

Technical information

Рекомендации по лечению

Демо бесплатно на 14 дней