Защити созданное

Другие наши ресурсы

Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка Правила обращения

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум | Бот самоподдержки Telegram

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype Telegram

Свяжитесь с нами

Профиль

Профиль

Android.RemoteCode.127.origin

Добавлен в вирусную базу Dr.Web:2018-01-17
Описание добавлено:2018-01-16

SHA1:

  • 80b86b0f07e1136e26d7fa2a32edc2cb350638ae
  • 798c2ac391ff8d566ba01be1dd784d474aef843e
  • b21179ac556f67500c023375c8f7118d00abd33b
  • 1c87a5646a8416c63a3f46436aad70acdfd2e96b
  • 96e98103f7b9a417c73fab98cc10f86d61677f95
  • 7d98c8d2f069696de96baf5f229ad0cc4adcc864
  • 8ea63ac78e719de757a0368de8a3fcfce3128b53
  • d6d3a6009e886630e892ded6fa5d984669aa347a
  • fe874c15147f18bdbac51adefbe6f72aede5ca4c
  • 70d8dc3077f5a793e45522cf36ea0eb6bafe5132
  • 782e68113c59bbd5a9c29aeb89c55fc97a7fdca1
  • d00104160c1b49eeba096d06c919497aabb2f348
  • c1fd29723e7f3680abf617b1b303454a6dc4b174
  • f1e840fc7cc9fe31412e6eec911eadc0724bc77e
  • d32c71b5dd70e65e5063edc6a748e292e2f30be1
  • 415918324dc12f569d08f2b2bc3541a7f0e89786
  • 7812cc65e892318924ed5047c2343d5285776656
  • 17814586a220c3c8161bba88207cbb32eb904dd8
  • fc2853bd0148aadb0319a8cc156ba4f44cfccba6
  • 47ff84252d2ab71e2ce3bf5f746a6637991f51fe
  • f3eccae75e8359748e6cddeacf048b8561b8288e
  • 8d92758f8597a2cb2e4dadbe1fdea26d8def6437
  • 661cdb32d08eba55d4d5201735347b5bbf962ff1
  • b7da8a34b13181804d7725f461f061536a0b74aa
  • bdac7863f3de3af3e91ce0082b921043e6dc07ca
  • f8e84cc7d493bba61b8acd5bb062166f22d05bb4
  • 5454b1a2272811f3efc5c9f6e4c1654459af06a4
  • ae4b467d8aa9a4866ea70d91c9149b307ea3e4b4

Троянец для ОС Android, входит в состав SDK 呀呀云 («Я Я Юнь»), который применяется при разработке ПО. Этот SDK дает возможность пользователям обмениваться друг с другом текстовыми, голосовыми и видеосообщениями. Основная задача Android.RemoteCode.127.origin – незаметная загрузка и запуск дополнительных вредоносных модулей.

Запуск Android.RemoteCode.127.origin зависит от того, каким образом разработчик инициализирует SDK в своем приложении. Обычно это происходит при старте программы в классе Application либо в какой-либо ее активности (Activity). После запуска троянец делает запрос к управляющему серверу https://hs.***bao.com/get (в некоторых модификациях – http://hs.***vv.info:9800/get) следующего вида:

{
"operatorType":"",
"model":"Philips_S307",
"osVersion":"4.4.2",
"appId":"1001305",
"vendor":"Philips",
"imei":"********0006551",
"androidId":"********743b4627",
"connectionType":"WIFI",
"mac":"**:**:**:81:77:dc",
"requestType":"jar",
"osType":1,
"ip":"***.***.137.136",
"sdkVersion":"1.0.3",
"appVersion":"1.8",
"longitude":"",
"latitude":"",
"imsi":"",
"uuid":"************4807a86dac9556ff07de",
"idfa":""
}

При этом, если у приложения с троянским SDK есть полномочия на определение координат, в запросе указывается последнее известное местоположение зараженного устройства.

В ответ сервер может отправить вредоносной программе задание вида:

{
"result":0,
"msg":null,
"tasks":[
 "tasks":[
{
"id":356,
"scriptType":null,
"type":0,
"binUrl":" " https://v.***aya.cn/core_xd_356 ,
"md5":"92801af38f6dfe38fbb8b63748006deb",
"className":"com.x.d.core.service",
"function":"main",
"functionParam":null,
"shell":"",
"pkage":"",
"exeDelay":0,
"scheduleTime":null,
"cancel":null,
"partnerId":null,
"countLimitType":2,
"binNumber":"leyou",
"taskType":1,
"activity":null,
"taskFlag":0,
"msgId":"********f6a7f20cbe2499cf"
}
]
}

В нем указывается ссылка на загрузку одного из вредоносных модулей, например, Android.RemoteCode.126.origin. После скачивания модуль запускается с использованием класса DexClassLoader.

Новость о троянце

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2018

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А