ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Click.201.origin

Добавлен в вирусную базу Dr.Web: 2017-11-14

Описание добавлено:

SHA1:

  • 9b86ac7d16710a32601017fa09e3425b0d600346

Android-троянец, представляющий собой jar-файл. Является компонентом вредоносного приложения Android.RemoteCode.106.origin и может загружаться другим его модулем, который детектируется как Android.Click.199.origin.

После запуска Android.Click.201.origin соединяется с управляющим сервером по адресу http://*.*.65.235:18080/sys/task/get/ и получает от него задания. Например:

{
   "result":true,
   "task":{
      "id":"d23e4530-c53e-11e7-95da-555b877da92d",
      "timeouts":{
         "pageMin":40000,
         "pageMax":60000,
         "navigation":120000,
         "taskMax":240000
      },
      "navigation":{
         "url":" " http://discover*******.com/?p=1471341544&subid=123&uid=123 ,
         "referer":" " http://***search.com/search/web?q=toilet+valve ,
         "domains":{
            " " discover*******.com :"***.**.217.236"
         }
         }
      },
      "depth":1,
      "name":"",
      "bid":0,
      "click":{
         "class":"mbad"
      }
   }
}

В невидимом для пользователя окне WebView троянец открывает указанный в задании URL, подменив домен полученным в задаче IP-адресом ***.**.217.236. При этом вредоносная программа заменяет значение Referer собственным: http://***search.com/search/web?q=toilet+valve). В результате целевой веб-сайт получает информацию о том, что пользователь якобы перешел на него с указанного адреса. В ответном сообщении сайта троянец указывает в Location домен сайта, отправленный ему в задании: discover*******.com.

После загрузки заданного в команде сайта Android.Click.201.origin находит на нем рекламный баннер или случайный элемент и нажимает на него, что приводит к открытию новой страницы. Троянец продолжает нажимать на баннеры и другие элементы сайта до тех пор, пока не достигнет заданного управляющим сервером числа переходов.

При загрузке целевого веб-адреса Android.Click.201.origin удаляет поле wv из значения User Agent. Благодаря этому загружаемый сайт не может определить, что переход на него бы выполнен с использованием WebView. В результате злоумышленники могут накручивать трафик, делая множественные «уникальные» запросы.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

© «Доктор Веб»
2003 — 2022

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А