КОРИСТУВАЧАМ

Закрити

Пошук
Пошук

Пошук

Підтримка
Цілодобова підтримка | Правила звернення

Напишіть

Запит через форму

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -
Створити новий запит Поширені запитання

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрити
Сервіси
Сканери
Dr.Web vxCube
Демо
Експертиза ВКІ
Вірусна бібліотека
База знань

Технології

Терміни

Навчання

Міфи

Новини

Android.Spy.277.origin

Добавлен в вирусную базу Dr.Web: 2016-04-01

Описание добавлено:

SHA1: 89dee7086968dda688703304fd4b5163476b7f44

Android-троянец, крадущий конфиденциальную информацию и показывающий навязчивую рекламу. Распространяется, главным образом, в поддельных версиях популярных приложений, которые злоумышленники размещают в каталоге Google Play.

После запуска троянец отправляет на управляющий сервер следующую информацию:

  • "email" – адрес, привязанный к пользовательской учетной записи Google, берется из AccountManager, при этом используется только getAccountsByType("com.google");
  • "app_id" – meta-data из файла manifest.xml приложения, в котором содержится троянец;
  • "gcm_id" – идентификатор GCM (Google Cloud Messaging id);
  • "sender_id" – идентификатор приложения, получаемый от сервера;
  • "app_version_code" – android:versionCode из файла manifest.xml;
  • "package_name" – имя пакета приложения, в котором находится троянец;
  • "sdk_version_name" – версия SDK;
  • "sdk_version_code" – номер сборки SDK троянца;
  • "android_id" – уникальный идентификатор;
  • "imei" – IMEI-идентификатор устройства;
  • "android_version" – версия ОС Android;
  • "model" – модель мобильного устройства;
  • "screen" – разрешение экрана;
  • "phone" – номер мобильного телефона;
  • "api_version" – версия SDK приложения;
  • "country" – страна проживания польозвателя;
  • "cpu" – тип центрального процессора;
  • "mac" – MAC-адрес сетевого адаптера;
  • "user_agent" – формирует строку идентификатора User Agent для каждого конкретного мобильного устройства, при этом учитываются параметры Build.VERSION.RELEASE, Build.VERSION.CODENAME, Build.MODEL, Build.ID;
  • "carrier" – наименование мобильного оператора;
  • "is_plugin" – информирует сервер о том, запущен ли троянец из оригинального приложения (значение false) или активен плагин из его программных ресурсов (значение true);
  • "time_from_begin" – время, через которое троянец начинает обмениваться данными с управляющим сервером;
  • "install_referrer" – по умолчанию передает значение "Others";
  • "connection_type" - тип подключения к сети;
  • "connection_sub_type" - подтип сети;
  • "is_rooted" - наличие root-доступа (значение true или false);
  • "active_device_admin" - имеются ли права администратора мобильного устройства у приложения, в котором находится троянец (значение true или false);
  • "has_gp" – установлено ли на устройстве приложение Google Play (значение true или false);
  • "Install from = " - "Google Play"/"Others" – установлено ли приложение с троянцем из каталога Google Play или стороннего источника.

При запуске любого приложения троянец отправляет на сервер POST-запрос с той же информацией, при этом добавляет к нему название пакета запущенного приложения и запрашивает параметры для показа рекламы:

  • "index" – requestads;
  • "package_name_running" – имя запущенного приложения.

В зависимости от полученных команд Android.Spy.277.origin может выполнить следующие действия:

  • «show_log» – включить или отключить ведение журнала работы троянца;
  • «install_plugin» – установить плагин, скрытый внутри программного пакета вредоносного приложения;
  • «banner», «interstitial», «video_ads» – показать различные виды рекламных баннеров (в том числе поверх интерфейса ОС и других приложений);
  • «notification» – отобразить в информационной панели уведомление с полученными параметрами;
  • «list_shortcut» – поместить на рабочий стол ярлыки, нажатие на которые приведет к открытию заданных разделов в каталоге Google Play;
  • «redirect_gp» – открыть в приложении Google Play страницу с заданным в команде адресом;
  • «redirect_browser» – открыть заданный веб-адрес в предустановленном браузере;
  • «redirect_chrome» – открыть заданный веб-адрес в браузере Chrome;
  • «redirect_fb» – перейти на указанную в команде страницу социальной сети Facebook.

Пример рекламы, оформленной в виде баннеров:

#drweb   #drweb

Пример рекламных сообщений в панели уведомлений:

#drweb   #drweb

Пример ярлыков, создаваемых троянцем на рабочем столе:

#drweb

На данный момент известно о более чем 100 приложениях, содержащих Android.Spy.277.origin:

  • com.true.icaller
  • com.appstorenew.topappvn
  • com.easyandroid.free.ios6
  • com.entertainmentphotoedior.photoeffect
  • lockscreenios8.loveslockios.com.myapplication
  • com.livewallpaper.christmaswallpaper
  • com.entertainment.drumsetpro
  • com.entertainment.nocrop.nocropvideo
  • com.entertainment.fastandslowmotionvideotool
  • com.sticker.wangcats
  • com.chuthuphap.xinchu2016
  • smartapps.cameraselfie.camerachristmas
  • com.ultils.scanwifi
  • com.entertainmenttrinhduyet.coccocnhanhnhat
  • com.entertainment.malmath.apps.mm
  • com.newyear2016.framestickertet
  • com.entertainment.audio.crossdjfree
  • com.igallery.styleiphone
  • com.crazystudio.mms7.imessager
  • smartapps.music.nhactet
  • com.styleios.phonebookios9
  • com.battery.repairbattery
  • com.golauncher.ip
  • com.photo.entertainment.blurphotoeffect.photoeffect
  • com.irec.recoder
  • com.Jewel.pro2016
  • com.tones.ip.ring
  • com.entertainment.phone.speedbooster
  • com.noelphoto.stickerchristmas2016
  • smartapps.smstet.tinnhantet2016
  • com.styleios9.lockscreenchristmas2016
  • com.stickerphoto.catwangs
  • com.ultils.frontcamera
  • com.phaotet.phaono2
  • com.video.videoplayer
  • com.entertainment.mypianophone.pianomagic
  • com.entertainment.vhscamcorder
  • com.o2yc.xmas
  • smartapps.musictet.nhacxuan
  • com.inote.iphones6
  • christmas.dhbkhn.smartapps.christmas
  • com.bobby.carrothd
  • om.entertainment.camera.fisheyepro
  • com.entertainment.simplemind
  • com.icall.phonebook.io
  • com.entertainment.photo.photoeditoreffect
  • com.editphoto.makecdcover
  • com.tv.ontivivideo
  • smartapps.giaixam.gieoquedaunam
  • com.ultils.frontcamera
  • com.applock.lockscreenos9v4
  • com.beauty.camera.os
  • com.igallery.iphotos
  • com.calculator.dailycalories
  • com.os7.launcher.theme
  • com.trong.duoihinhbatchu.chucmungnammoi
  • com.apppro.phonebookios9
  • com.icamera.phone6s.os
  • com.entertainment.video.reversevideo
  • com.entertainment.photoeditor.photoeffect
  • com.appvv.meme
  • com.newyear.haitetnew
  • com.classic.redballhd
  • com.entertainmentmusic.musicplayer.styleiphoneios
  • com.camera.ios8.style
  • com.countdown.countdownnewyear2016
  • com.photographic.iphonecamera
  • com.contactstyle.phonebookstyleofios9
  • com.entertainment.blurphotobackground.photoeffect.cameraeditor.photoeffect
  • com.color.christmas.xmas
  • com.bottle.picinpiccamera
  • com.entertainment.videocollagemaker
  • com.wallpaper.wallpaperxmasandnewyear2016
  • com.ultils.lockapp.smslock
  • com.apppro.phonebookios9
  • com.entertainment.myguitar.guitarpro
  • com.sticker.stickerframetet2016
  • com.bd.android.kmlauncher
  • com.entertainment.batterysaver.batterydoctor
  • com.trong.jumpy.gamehaynhatquadat
  • com.entertainmentphotocollageeditor
  • smartapps.smsgiangsinh.christmas2016
  • smartapps.musicchristmas.christmasmusichot
  • com.golauncher.ip
  • com.applock.lockscreenos9v4
  • com.imessenger.ios
  • com.livewall.paper.xmas
  • com.main.windows.wlauncher.os.wp
  • com.entertainmentlaunchpad.launchpadultimate
  • com.fsoft.matchespuzzle
  • com.entertainment.photodat.image.imageblur
  • com.videoeditor.instashot
  • com.entertainment.hi.controls
  • com.icontrol.style.os
  • smartapps.zing.video.hot
  • com.photo.entertainment.photoblur.forinstasquare
  • com.entertainment.livewallpaperchristmas
  • com.entertainment.tivionline
  • com.iphoto.os
  • com.tool.batterychecker
  • com.photo.multiphotoblur
  • smartapps.nhactet.nhacdjtet
  • com.runliketroll.troll
  • com.jinx.metalslug.contra

Новость о троянце

Рекомендации по лечению

Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта
Скачать с Google Play