ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Loki.16.origin

Добавлен в вирусную базу Dr.Web: 2016-12-09

Описание добавлено:

SHA1:

  • cd176f314662363af782fc539213db8f1171a664

Многокомпонентный троянец, работающий на смартфонах и планшетах под управлением ОС Android. Он загружается на мобильные устройства и запускается другими вредоносными программами. Android.Loki.16.origin пытается получить root-доступ и установить свои компоненты в системный каталог.

После запуска Android.Loki.16.origin передает на управляющий сервер информацию о зараженном устройстве, которая загружается в формате JSON. Например:

{
"chanel": "25425",
"brand":,
"model":,
"product":,
"android":,
"linux_v":,
"sdk":,
"imei":,
"imsi":,
"abi":"armeabi-v7a",
"country":"US",
"service": "ApiSs.lists",
"vd": "version 201611111348",
"vc": "3",
}

где:

  • "chanel": – целое число;
  • "brand": – наименование производителя устройства;
  • "model": – название модели устройства;
  • "product": – полное название устройства;
  • "android": – версия ОС;
  • "linux_v": – версия ядра Linux;
  • "sdk": – версия SDK системы;
  • "imei": – IMEI-идентификатор;
  • "imsi": – IMSI-идентификатор;
  • "abi": – архитектура платформы;
  • "country": – страна проживания пользователя;
  • "service": – запрос списка эксплойтов, которые необходимо загрузить;
  • "vd": – версия вредоносного приложения, указанная в файле AndroidManifest.xml;
  • "vc": – константа.

Передаваемые данные сжимаются с использованием класса DeflaterOutputStream и шифруются при помощи собственной реализации алгоритма AES. В ответ сервер отправляет троянцу сжатый и зашифрованный JSON, в котором указаны параметры для загрузки набора эксплойтов и дополнительного вредоносного модуля:

{
"dmd5": "AEB2053BCA56D736152884095C052328.zip", 
"dparam": "tag_test",
"durl": "http://**.***.64.76:10001/?&service=ApiKl.get",
"dtype": 0,
"list": [
{
"xurl":
"http://**.***.64.76:10001/?&service=ApiSs.get&xmd5=C9194C261C5D8E50F7BE098CBBE464AE.zip",
"xmd5": "C9194C261C5D8E50F7BE098CBBE464AE",
"xtype": 0
},
{
"xurl":
"http://**.***0.64.76:10001/?&service=ApiSs.get&xmd5=FEA7150DFACAF4887FEBD56360F7C0B9.zip",
"xmd5": "FEA7150DFACAF4887FEBD56360F7C0B9",
"xtype": 0
}
]
}

где:

  • "dmd5": – имя архива с вредоносным компонентом Android.Loki.28;
  • "durl": – ссылка для скачивания Android.Loki.28;
  • "list": – список эксплойтов, которые необходимо загрузить.

После скачивания и распаковки эксплойтов Android.Loki.16.origin поочередно их выполняет. При этом им передаются следующие параметры:

argv[n]Значение
0/data/data/<package_name>/files/sclplu/xcache/<имя_эксплойта>
1"7e832e21a8178d83"
2System.currentTimeMillis() / 1000 % 43200
3/data/data/<package_name>/files/sclplu/xcache (каталог, в котором расположены эксплойты)
4путь к Android.Loki.28
5/storage/sdcard/.googlex9/.xamdecoq0962|<google advertizing id>|<android device id>|<MAC-адрес>|<IMEI>|<channel ID
(число из первоначального запроса троянца)>|<dparam (параметр, полученный в ответном сообщении управляющего сервера)>

Далее перед запуском основного кода каждый из эксплойтов выполняет следующие действия:

  • проверяет количество аргументов;
  • сравнивает с зашитой в него строкой значение argv[1];
  • удостоверяется, что значение argv[2] находится в определенных пределах.

После этого эксплойт, который успешно получил root-доступ, создает в каталоге /data/data/<package_name>/files/sclplu/xcache файл crsh.sh, в который записывает следующий скрипт и запускает его:

#!/system/bin/sh
<путь к Android.Loki.28> 0e7e68c92b889bed <argv[2]>
/data/data/<package_name>/files/sclplu/xcache <argv[5]> rm $0

В свою очередь, этот скрипт запускает вредоносный модуль Android.Loki.28.

Новость о троянце

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

Dr.Web © «Доктор Веб»
2003 — 2021

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А