Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Packed.30118

Добавлен в вирусную базу Dr.Web: 2017-09-20

Описание добавлено:

Техническая информация

Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
  • Android.SmsSpy.112.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(GCM) <Google Host>
  • TCP(HTTP/1.1) 1####.197.235.73:80
  • TCP(HTTP/1.1) o####.map.b####.com:80
  • TCP(HTTP/1.1) da.mma####.com:80
  • TCP(HTTP/1.1) a####.u####.com:80
  • TCP(HTTP/1.1) pim.1####.cn:80
  • TCP(HTTP/1.1) mo####.on####.com:80
  • TCP(HTTP/1.1) a.c####.com.cn:80
  • TCP(HTTP/1.1) loc.map.b####.com:80
  • TCP(HTTP/1.1) 1####.136.240.51:8080
  • TCP(HTTP/1.1) mon####.cm-anal####.com:80
  • TCP(TLS/1.0) api.map.b####.com:443
  • TCP(TLS/1.0) a.c####.com.cn:443
  • TCP(TLS/1.0) aoise####.800810####.cn:6943
  • TCP ao####.800810####.cn:6503
  • TCP aoise####.800810####.cn:6500
Запросы DNS:
  • a####.u####.com
  • a.c####.com.cn
  • ao####.800810####.cn
  • aoise####.800810####.cn
  • api.map.b####.com
  • da.mma####.com
  • loc.map.b####.com
  • mo####.on####.com
  • mon####.cm-anal####.com
  • o####.map.b####.com
  • pim.1####.cn
Запросы HTTP GET:
  • mo####.on####.com/services/ip?ip=####
  • mon####.cm-anal####.com/sv/95/325/2633/6?v=####&sid=####
  • pim.1####.cn/wap/adbrush.php?showType=####
  • pim.1####.cn/wap/onloadbrush.php?name=####&crumb=####
Запросы HTTP POST:
  • a.c####.com.cn/pim/jsonrpc_api.php
  • da.mma####.com/mmsdk/mmsdk?func=####&appkey=####&channel=####&code=####
  • loc.map.b####.com/sdk.php
Изменения в файловой системе:
Создает следующие файлы:
  • <Package Folder>/.jiagu/libjiagu.so
  • <Package Folder>/cache/####/data_0
  • <Package Folder>/cache/####/data_1
  • <Package Folder>/cache/####/data_2
  • <Package Folder>/cache/####/data_3
  • <Package Folder>/cache/####/index
  • <Package Folder>/cache/data.txt
  • <Package Folder>/cache/data1.txt
  • <Package Folder>/cache/data2.txt
  • <Package Folder>/cache/data3.txt
  • <Package Folder>/databases/aoi.db
  • <Package Folder>/databases/aoi.db-journal
  • <Package Folder>/databases/cc.db
  • <Package Folder>/databases/cc.db-journal
  • <Package Folder>/databases/icloud.db-journal
  • <Package Folder>/databases/mediaplatform.db-journal
  • <Package Folder>/databases/message_template.db-journal
  • <Package Folder>/databases/plugins.db-journal
  • <Package Folder>/databases/ua.db
  • <Package Folder>/databases/ua.db-journal
  • <Package Folder>/databases/webview.db-journal
  • <Package Folder>/databases/webviewCookiesChromium.db-journal (deleted)
  • <Package Folder>/files/####/cmcc-sso-2.9.0.4.jar
  • <Package Folder>/files/####/exchangeIdentity.json
  • <Package Folder>/files/####/firll.dat
  • <Package Folder>/files/####/gal.db
  • <Package Folder>/files/####/gal.db-journal
  • <Package Folder>/files/####/hst.db
  • <Package Folder>/files/####/hst.db-journal
  • <Package Folder>/files/####/libkh_x8632-2.9.0.4.so
  • <Package Folder>/files/####/ofl.config
  • <Package Folder>/files/####/ofl_location.db
  • <Package Folder>/files/####/ofl_location.db-journal
  • <Package Folder>/files/####/ofl_statistics.db
  • <Package Folder>/files/####/ofl_statistics.db-journal
  • <Package Folder>/files/.imprint
  • <Package Folder>/files/StrangeCalls.db
  • <Package Folder>/files/act0
  • <Package Folder>/files/act4
  • <Package Folder>/files/act5
  • <Package Folder>/files/com.cmcc.aoe.keepalive
  • <Package Folder>/files/com.cmcc.aoe.keepalive.pie
  • <Package Folder>/files/evn2
  • <Package Folder>/files/evn3
  • <Package Folder>/files/evnsms0
  • <Package Folder>/files/evnsms1
  • <Package Folder>/files/evnsms2
  • <Package Folder>/files/exid.dat
  • <Package Folder>/files/libcuid.so
  • <Package Folder>/files/sys1
  • <Package Folder>/files/umeng_it.cache
  • <Package Folder>/shared_prefs/<Package>.xml
  • <Package Folder>/shared_prefs/<Package>.xml.bak
  • <Package Folder>/shared_prefs/AnalysisData.xml
  • <Package Folder>/shared_prefs/AnalysisData.xml.bak
  • <Package Folder>/shared_prefs/AoiData.xml
  • <Package Folder>/shared_prefs/MoblieAgent_config_<Package>.xml
  • <Package Folder>/shared_prefs/MoblieAgent_event_<Package>.xml
  • <Package Folder>/shared_prefs/MoblieAgent_state_<Package>.xml
  • <Package Folder>/shared_prefs/MoblieAgent_state_<Package>.xml.bak
  • <Package Folder>/shared_prefs/MoblieAgent_sys_config.xml
  • <Package Folder>/shared_prefs/MoblieAgent_sys_config.xml.bak
  • <Package Folder>/shared_prefs/MoblieAgent_upload_<Package>.xml
  • <Package Folder>/shared_prefs/MoblieAgent_upload_<Package>.xml.bak
  • <Package Folder>/shared_prefs/_default_oneapm_cache_file_name.xml
  • <Package Folder>/shared_prefs/_locationOneAPM.xml
  • <Package Folder>/shared_prefs/_locationOneAPMcacheTime.xml
  • <Package Folder>/shared_prefs/aoe_setting.xml
  • <Package Folder>/shared_prefs/aoe_sp.xml
  • <Package Folder>/shared_prefs/authStatus_com.cmcc.aoe.AOEService.xml
  • <Package Folder>/shared_prefs/com.oneapm.android.agent.v1_<Pack...ml.bak
  • <Package Folder>/shared_prefs/com.oneapm.android.agent.v1_<Package>.xml
  • <Package Folder>/shared_prefs/config.xml
  • <Package Folder>/shared_prefs/connect.xml
  • <Package Folder>/shared_prefs/dialtacts.xml
  • <Package Folder>/shared_prefs/dialtacts.xml.bak
  • <Package Folder>/shared_prefs/longin_info.xml
  • <Package Folder>/shared_prefs/mms_sms_info.xml
  • <Package Folder>/shared_prefs/mms_sms_info.xml.bak
  • <Package Folder>/shared_prefs/multi_call_info.xml
  • <Package Folder>/shared_prefs/multi_call_info.xml.bak
  • <Package Folder>/shared_prefs/multidex.version.xml
  • <Package Folder>/shared_prefs/notification_cache_info.xml
  • <Package Folder>/shared_prefs/notification_cache_info.xml.bak
  • <Package Folder>/shared_prefs/offline_setting.xml
  • <Package Folder>/shared_prefs/other_info.xml
  • <Package Folder>/shared_prefs/other_info.xml.bak
  • <Package Folder>/shared_prefs/setting.xml
  • <Package Folder>/shared_prefs/setting.xml.bak
  • <Package Folder>/shared_prefs/setting_contact_sync.xml
  • <Package Folder>/shared_prefs/side_bar.xml
  • <Package Folder>/shared_prefs/side_bar.xml.bak
  • <Package Folder>/shared_prefs/smsMoblieAgent_event_<Package>.xml
  • <Package Folder>/shared_prefs/smsMoblieAgent_sys_config.xml
  • <Package Folder>/shared_prefs/smsMoblieAgent_sys_config.xml.bak
  • <Package Folder>/shared_prefs/smsMoblieAgent_upload_<Package>.xml
  • <Package Folder>/shared_prefs/smsMoblieAgent_upload_<Package>.xml.bak
  • <Package Folder>/shared_prefs/stats_setting.xml
  • <Package Folder>/shared_prefs/strangcallsSdk_setting.xml
  • <Package Folder>/shared_prefs/umeng_general_config.xml
  • <Package Folder>/shared_prefs/uuid.xml
  • <SD-Card>/.AOE/####/.info
  • <SD-Card>/.AOE/####/AOELog.20170804_C_<Package>.txt
  • <SD-Card>/.AOE/####/AOELog.20170804_S_<Package>.txt
  • <SD-Card>/.AOE/416c6d6d6c395a69427232654d51374f4132615a70413d3da
  • <SD-Card>/1501850072877 (deleted)
  • <SD-Card>/1501850072909
  • <SD-Card>/1501850072911
  • <SD-Card>/1501850073121
  • <SD-Card>/Android/####/.nomedia
  • <SD-Card>/Android/####/journal.tmp
  • <SD-Card>/backups/####/.cuid
  • <SD-Card>/backups/####/.cuid2
  • <SD-Card>/baidu/####/conlts.dat
  • <SD-Card>/baidu/####/ls.db
  • <SD-Card>/baidu/####/ls.db-journal
  • <SD-Card>/baidu/####/yoh.dat
  • <SD-Card>/baidu/####/yol.dat
  • <SD-Card>/baidu/####/yom.dat
  • <SD-Card>/cmcc_sso_config.dat
  • <SD-Card>/cmcc_sso_south_log/####/cmcc_sso_south.log0
  • <SD-Card>/data/####/<IMEI>
Другие:
Запускает следующие shell-скрипты:
  • /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
  • /system/bin/chmod 755 <Package Folder>/files/com.cmcc.aoe.keepalive
  • /system/bin/chmod 755 <Package Folder>/files/com.cmcc.aoe.keepalive.pie
  • /system/bin/ps
  • <Package Folder>/files/com.cmcc.aoe.keepalive <Package> 0
  • <Package Folder>/files/com.cmcc.aoe.keepalive.pie <Package> 0
  • cat /sys/class/net/wlan0/address
  • chmod 755 <Package Folder>/.jiagu/libjiagu.so
  • logcat -c
  • logcat -d
  • sh -c am broadcast -a com.aoe.action.WAKEUP_APP_REBIND --user 0 --include-stopped-packages
  • sh -c am startservice -n <Package>/com.cmcc.aoe.BindAoeService --user 0 --include-stopped-packages
Загружает динамические библиотеки:
  • cmcc
  • libjiagu
  • locSDK7a
Использует следующие алгоритмы для шифрования данных:
  • AES-CBC-PKCS5Padding
  • AES-CBC-PKCS7Padding
  • DES-ECB-PKCS5Padding
  • DESede-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
  • AES-CBC-PKCS5Padding
  • AES-CBC-PKCS7Padding
  • DES-ECB-PKCS5Padding
  • DESede-CBC-PKCS5Padding
  • PBEWithSHAAnd3-KeyTripleDES-CBC
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации о входящих/исходящих звонках.
Осуществляет доступ к информации об отправленых/принятых смс.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке