Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.DownLoader.819.origin

Добавлен в вирусную базу Dr.Web: 2018-10-23

Описание добавлено:

SHA1:

  • 54ae640eae345c9b108ec33026eb03624e9840c8
  • c6e337f8525e6cea5297f81af3434d9a37d6db15
  • c8c051a0ef04dad228a020e9a23efa762cd5ecc0
  • c2719ccef70071b0cffa0c58557c6244c4a7da06
  • 39306af4647badbbd87084ea3695c2ea725e837d
  • 6437914d8f905bc8b9f24a6dee553f86af1f8721
  • e55b70f9edc7bb9fbdf46fef588d19ff5496312b
  • 75bf69b54ffa399f19eccd705249125cf71c7e7c
  • 8b077a4b8bba70c52ead31c76d8aa79c497b817c
  • 8c15f223d143fd352829b6c29707ff20055d86f9
  • 73c2add5c467a6e9f5722588da6db03ac6e35cb3
  • 0b25c6c1706b46b87afc243366f299280b140503
  • d8a63e181680ab40644ded9f572e8251e3d13756
  • f25d0d6aff4ccc765684520bb8fa09388dc9d061

Троянец-загрузчик, работающий на устройствах под управлением ОС Android. Является модификацией троянца Android.DownLoader.818.origin. Впервые был обнаружен в каталоге Google Play, где распространялся разработчиком Quoac под видом игр.

screenshot Android.DownLoader.819.origin #drweb

При запуске троянец запрашивает доступ к SD-карте мобильного устройства, показывая следующее сообщение:

screenshot Android.DownLoader.819.origin #drweb

После получения разрешения от пользователя Android.DownLoader.819.origin запрашивает доступ к функциям администратора:

screenshot Android.DownLoader.819.origin #drweb

Успешно став администратором устройства, троянец скрывает свой значок из списка приложений главного экрана. Для этого он делает недоступной активность, по которой выполняется его запуск.

Далее Android.DownLoader.819.origin с использованием своего сервиса загружает с сервера https://cdn.*****.us файл Addon.apk, который записывает во внешнее хранилище данных (SD-карту или доступную для пользователя область встроенной памяти мобильного устройства). Скачиваемый файл представляет собой рекламного троянца Android.HiddenAds.728, однако в зависимости от настроек сервера с него могут быть получены и другие файлы.

После загрузки файла Android.DownLoader.819.origin каждые 20 секунд предлагает пользователю установить его, показывая стандартное системное диалоговое окно:

screenshot Android.DownLoader.819.origin #drweb

Это происходит до тех пор, пока владелец зараженного устройства не согласится на установку приложения.

Android.DownLoader.819.origin также регистрирует широковещательный приемник, который запускает троянский сервис при наступлении следующих системных событий:

  • android.net.conn.CONNECTIVITY_CHANGE – подключение или отключение от Интернета;
  • android.intent.action.BOOT_COMPLETED – загрузка операционной системы.

Новость о троянце

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке