Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.SmsSpy.10169

Добавлен в вирусную базу Dr.Web: 2019-04-12

Описание добавлено:

Техническая информация

Вредоносные функции:
Выполняет код следующих детектируемых угроз:
  • Android.RemoteCode.907
  • Android.SmsSpy.677.origin
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.1) a####.u####.com:80
  • TCP(HTTP/1.1) q####.qi1####.com:14302
  • TCP(HTTP/1.1) q####.qi1####.com:15302
  • TCP(HTTP/1.1) zxc####.wann####.com:8200
  • TCP(HTTP/1.1) z####.wann####.com:9500
  • TCP(HTTP/1.1) hangzho####.oss-cn-####.aliy####.com:80
  • TCP(HTTP/1.1) qyc####.qi1####.com:8200
  • TCP(HTTP/1.1) gdv.a.s####.com:80
  • TCP(HTTP/1.1) z####.wann####.com:9600
Запросы DNS:
  • a####.u####.com
  • c####.api.zhifa####.net
  • hangzho####.oss-cn-####.aliy####.com
  • i####.api.zhifa####.net
  • i####.api.zhifa####.net
  • prelo####.hishen####.com
  • pv.s####.com
  • q####.qi1####.com
  • qyc####.qi1####.com
  • re####.api.zhifa####.net
  • sdk.api.zhifa####.net
  • z####.wann####.com
  • zxc####.wann####.com
Запросы HTTP GET:
  • gdv.a.s####.com/cityjson?ie=####
  • hangzho####.oss-cn-####.aliy####.com/qiyi/client/sdk/so/libzxvps.so
  • qyc####.qi1####.com:8200/sdk/file?54Ko8dk####
  • qyc####.qi1####.com:8200/sdk/file?CXMW41Q####
  • qyc####.qi1####.com:8200/sdk/file?E49G/oX####
  • qyc####.qi1####.com:8200/sdk/file?FUSFymR####
  • qyc####.qi1####.com:8200/sdk/file?HfKSNE2####
  • qyc####.qi1####.com:8200/sdk/file?NbEi7Pz####
  • qyc####.qi1####.com:8200/sdk/file?SXU1TQr####
  • qyc####.qi1####.com:8200/sdk/file?ZCP96vK####
  • qyc####.qi1####.com:8200/sdk/file?fNk9Fof####
  • qyc####.qi1####.com:8200/sdk/file?hyOE+/q####
  • qyc####.qi1####.com:8200/sdk/file?mMXSBL7####
  • qyc####.qi1####.com:8200/sdk/file?oIARr+r####
  • qyc####.qi1####.com:8200/sdk/file?zBedxJ5####
Запросы HTTP POST:
  • a####.u####.com/app_logs
  • q####.qi1####.com:14302/sdk_login?t=####
  • q####.qi1####.com:15302/sdk_login?t=####
  • z####.wann####.com:9500/
  • z####.wann####.com:9600/
  • zxc####.wann####.com:8200/qy/acceptSdkFileReq
  • zxc####.wann####.com:8200/qy/getOnlineLoginHttpReq
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/.imprint
  • /data/data/####/.jg.ic
  • /data/data/####/0.png
  • /data/data/####/1.png
  • /data/data/####/2.png
  • /data/data/####/3.png
  • /data/data/####/4.png
  • /data/data/####/5.png
  • /data/data/####/Alvin2.xml
  • /data/data/####/ContextData.xml
  • /data/data/####/IntroductionA.png
  • /data/data/####/IntroductionB.png
  • /data/data/####/M.png
  • /data/data/####/MainScene.json
  • /data/data/####/SP_REPLACE_CLASSLOADER_CLASS_NAME.xml
  • /data/data/####/a.db
  • /data/data/####/a.db-journal
  • /data/data/####/anzhuang_bt.png
  • /data/data/####/article.json
  • /data/data/####/back.png
  • /data/data/####/background.png
  • /data/data/####/background0.png
  • /data/data/####/background1.png
  • /data/data/####/background2.png
  • /data/data/####/background3.png
  • /data/data/####/baidu
  • /data/data/####/baise.png
  • /data/data/####/banner.png
  • /data/data/####/beijing.png
  • /data/data/####/bg.jpg
  • /data/data/####/biaoti.png
  • /data/data/####/black.png
  • /data/data/####/blue_circle.png
  • /data/data/####/boi.mp3
  • /data/data/####/boom.png
  • /data/data/####/bottomDown.png
  • /data/data/####/box.png
  • /data/data/####/btn_home.png
  • /data/data/####/btn_quxiao.png
  • /data/data/####/btn_replay.png
  • /data/data/####/btn_xiazai.png
  • /data/data/####/bullet.png
  • /data/data/####/cat01.png
  • /data/data/####/cat02.png
  • /data/data/####/cat03.png
  • /data/data/####/cc.db
  • /data/data/####/cc.db-journal
  • /data/data/####/class_action.png
  • /data/data/####/class_bt.png
  • /data/data/####/class_car.png
  • /data/data/####/class_h5.png
  • /data/data/####/class_juese.png
  • /data/data/####/class_relax.png
  • /data/data/####/class_run.png
  • /data/data/####/classifyinfo.json
  • /data/data/####/comment.png
  • /data/data/####/commentA.png
  • /data/data/####/commentB.png
  • /data/data/####/config50301.xml
  • /data/data/####/config50301.xml.bak
  • /data/data/####/continue.png
  • /data/data/####/danji_hei.png
  • /data/data/####/danji_lan.png
  • /data/data/####/danjiyouxi.png
  • /data/data/####/date_bt.png
  • /data/data/####/daxingyouxi.png
  • /data/data/####/dead.wav
  • /data/data/####/detailGamesScene.json
  • /data/data/####/dian.png
  • /data/data/####/diban.png
  • /data/data/####/ding.mp3
  • /data/data/####/down.png
  • /data/data/####/down_continue_bt.png
  • /data/data/####/down_pause_bt.png
  • /data/data/####/down_wait_bt.png
  • /data/data/####/down_xian.png
  • /data/data/####/download_bt.png
  • /data/data/####/empty_box.png
  • /data/data/####/enemy3_fly_1.png
  • /data/data/####/exchangeIdentity.json
  • /data/data/####/exid.dat
  • /data/data/####/expand.png
  • /data/data/####/famugong01.png
  • /data/data/####/famugong03.png
  • /data/data/####/fanhui.png
  • /data/data/####/feilianwang.png
  • /data/data/####/fenlei_banner1.jpg
  • /data/data/####/fenlei_banner2.jpg
  • /data/data/####/fenlei_banner3.jpg
  • /data/data/####/fenlei_banner4.jpg
  • /data/data/####/font_dongzuo.png
  • /data/data/####/font_xiuxian.png
  • /data/data/####/fuhuo.png
  • /data/data/####/fuhuojiemian.png
  • /data/data/####/gameImage.png
  • /data/data/####/gameIntroduction.png
  • /data/data/####/game_icon.png
  • /data/data/####/game_info_bt.png
  • /data/data/####/game_item_bar.png
  • /data/data/####/gameinfo.json
  • /data/data/####/gantanhao.png
  • /data/data/####/getprop
  • /data/data/####/green_circle.png
  • /data/data/####/guanfang.png
  • /data/data/####/guide_text.png
  • /data/data/####/half_star.png
  • /data/data/####/huidaozhuye.png
  • /data/data/####/huiyuan.png
  • /data/data/####/icon_99.png
  • /data/data/####/icon_bobotan.png
  • /data/data/####/icon_buluo.png
  • /data/data/####/icon_chiji.png
  • /data/data/####/icon_chuqiaopaoku.png
  • /data/data/####/icon_cqztantan.png
  • /data/data/####/icon_dafuwen.png
  • /data/data/####/icon_daqingwangchao.png
  • /data/data/####/icon_datianshi.png
  • /data/data/####/icon_dengshan.png
  • /data/data/####/icon_doudizhu.png
  • /data/data/####/icon_gongjianshou.png
  • /data/data/####/icon_hankegou.png
  • /data/data/####/icon_hougongsanqian.png
  • /data/data/####/icon_jiangshi.png
  • /data/data/####/icon_jianling.png
  • /data/data/####/icon_jiesha.png
  • /data/data/####/icon_jinianbeigu.png
  • /data/data/####/icon_jiong.png
  • /data/data/####/icon_jiuqu.png
  • /data/data/####/icon_langyabang.png
  • /data/data/####/icon_monichengshi.png
  • /data/data/####/icon_naodianzi.png
  • /data/data/####/icon_nuniao.png
  • /data/data/####/icon_peiqi.png
  • /data/data/####/icon_qiesengzi.png
  • /data/data/####/icon_qieshuiguo.png
  • /data/data/####/icon_qiuqiu.png
  • /data/data/####/icon_quanmingqiangzhan.png
  • /data/data/####/icon_shenmiao.png
  • /data/data/####/icon_tanchishe.png
  • /data/data/####/icon_tangmumao.png
  • /data/data/####/icon_tiaowuline.png
  • /data/data/####/icon_wangzhe.png
  • /data/data/####/icon_wutui.png
  • /data/data/####/icon_xiakexing.png
  • /data/data/####/icon_xiangsu.png
  • /data/data/####/icon_xindongnvyou.png
  • /data/data/####/icon_xingxing.png
  • /data/data/####/icon_xiongda.png
  • /data/data/####/icon_yiqidawawa.png
  • /data/data/####/icon_yishizhizun.png
  • /data/data/####/icon_yongbu.png
  • /data/data/####/icon_zhenwang.png
  • /data/data/####/icon_zhizunchuanqi.png
  • /data/data/####/jiesuan.png
  • /data/data/####/jindu.png
  • /data/data/####/jixu.png
  • /data/data/####/jixuyouxi.png
  • /data/data/####/kaishiyouxi.png
  • /data/data/####/kanshu.mp3
  • /data/data/####/kefu.png
  • /data/data/####/ker.txt
  • /data/data/####/kick.plist
  • /data/data/####/kick.png
  • /data/data/####/kick.wav
  • /data/data/####/kuang.png
  • /data/data/####/libjiagu1969729774.so
  • /data/data/####/loadHead.png
  • /data/data/####/loadIcon.png
  • /data/data/####/login.jpg
  • /data/data/####/login.png
  • /data/data/####/lookAll.png
  • /data/data/####/mask.png
  • /data/data/####/mask0.png
  • /data/data/####/mask1.png
  • /data/data/####/mask2.png
  • /data/data/####/mask3.png
  • /data/data/####/mask4.png
  • /data/data/####/mask5.png
  • /data/data/####/meizhuazhu.png
  • /data/data/####/mid_mask.png
  • /data/data/####/mubei.png
  • /data/data/####/my01.png
  • /data/data/####/my02.png
  • /data/data/####/my_game_bt.png
  • /data/data/####/mybaozha01.png
  • /data/data/####/mybaozha02.png
  • /data/data/####/mybaozha03.png
  • /data/data/####/needNet.png
  • /data/data/####/new_md.dex
  • /data/data/####/new_md.jar
  • /data/data/####/noAd.png
  • /data/data/####/notZan.png
  • /data/data/####/open_bt.png
  • /data/data/####/over.png
  • /data/data/####/overSoreBg.png
  • /data/data/####/pause.png
  • /data/data/####/percent.png
  • /data/data/####/pid
  • /data/data/####/play.jpg
  • /data/data/####/qihoo_jiagu_crash_report.xml
  • /data/data/####/queding.png
  • /data/data/####/qy_db_pay
  • /data/data/####/qy_db_pay-journal
  • /data/data/####/rank_bt.png
  • /data/data/####/rankinfo.json
  • /data/data/####/recommend1.png
  • /data/data/####/recommend2.png
  • /data/data/####/redsig.png
  • /data/data/####/reply.png
  • /data/data/####/safety.png
  • /data/data/####/score.mp3
  • /data/data/####/scoreBg.png
  • /data/data/####/sdk.xml
  • /data/data/####/search_bar.png
  • /data/data/####/search_bt.png
  • /data/data/####/shake.plist
  • /data/data/####/shake.png
  • /data/data/####/sheji.mp3
  • /data/data/####/shouping.jpg
  • /data/data/####/show_bg.png
  • /data/data/####/shuaxin.png
  • /data/data/####/siwang.mp3
  • /data/data/####/star.png
  • /data/data/####/star_1.png
  • /data/data/####/star_2.png
  • /data/data/####/star_3.png
  • /data/data/####/star_4.png
  • /data/data/####/star_5.png
  • /data/data/####/star_bg.png
  • /data/data/####/start.png
  • /data/data/####/startGround.png
  • /data/data/####/start_normal.png
  • /data/data/####/start_select.png
  • /data/data/####/stick_black.png
  • /data/data/####/stick_fallen.mp3
  • /data/data/####/stick_grow_loop.wav
  • /data/data/####/tiao.png
  • /data/data/####/tiaodi.png
  • /data/data/####/tmp_so
  • /data/data/####/top.png
  • /data/data/####/topBg.png
  • /data/data/####/top_xian.png
  • /data/data/####/tuichu.png
  • /data/data/####/ua.db
  • /data/data/####/ua.db-journal
  • /data/data/####/umeng_general_config.xml
  • /data/data/####/umeng_it.cache
  • /data/data/####/unknown.xml
  • /data/data/####/up_mask.png
  • /data/data/####/up_roll_show.png
  • /data/data/####/upack_list.py
  • /data/data/####/user.png
  • /data/data/####/userComment.png
  • /data/data/####/view_more.png
  • /data/data/####/walk.plist
  • /data/data/####/walk.png
  • /data/data/####/wangluo_hei.png
  • /data/data/####/wangluo_lan.png
  • /data/data/####/wangluoyouoxi.png
  • /data/data/####/webview.db
  • /data/data/####/webview.db-journal
  • /data/data/####/wood01.png
  • /data/data/####/wood02.png
  • /data/data/####/xiazaimianban.png
  • /data/data/####/xinzeng.png
  • /data/data/####/xiuxianyule.png
  • /data/data/####/yao.plist
  • /data/data/####/yao.png
  • /data/data/####/yuan.png
  • /data/data/####/zailaiyici.png
  • /data/data/####/zan.png
  • /data/data/####/zhen.png
  • /data/data/####/zhongfeiji01.png
  • /data/data/####/zhongfeiji02.png
  • /data/data/####/zhongfeiji03.png
  • /data/data/####/zhongfeiji04.png
  • /data/data/####/zhuazhule.png
  • /data/data/####/zhuye.png
  • /data/data/####/zhuye_banner1.jpg
  • /data/data/####/zhuye_banner2.jpg
  • /data/data/####/zhuye_banner3.jpg
  • /data/data/####/zhuye_banner4.jpg
  • /data/data/####/zuiduo_hei.png
  • /data/data/####/zuiduo_lan.png
  • /data/data/####/zuijin_hei.png
  • /data/data/####/zuijin_lan.png
  • /data/media/####/.cfg
  • /data/media/####/Alvin2.xml
  • /data/media/####/ContextData.xml
  • /data/media/####/device
Другие:
Запускает следующие shell-скрипты:
  • app_process /system/bin com.android.commands.am.Am startservice --user 0 -n <Package>/com.google.android.gms.analytics.CampaignTrackingService
  • cat /sys/block/mmcblk0/device/cid
  • chmod 755 <Package Folder>/.jiagu/libjiagu1969729774.so
  • chmod 777 <Package Folder>/lib/helper
  • dd if=<Package Folder>/lib/libhelper.so of=<Package Folder>/lib/helper
  • df
  • getprop
  • ls -l /system/bin/su
  • sh
Загружает динамические библиотеки:
  • cocos2dcpp
  • libhelper
  • libjiagu1969729774
  • libsmsmanager
  • libzxvps
Использует следующие алгоритмы для шифрования данных:
  • AES-CBC-PKCS5Padding
  • AES-CBC-PKCS7Padding
  • AES-ECB-PKCS5Padding
  • DES
  • DES-CBC-PKCS5Padding
  • DES-ECB-NoPadding
  • RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
  • AES
  • AES-CBC-PKCS7Padding
  • DES
  • DES-ECB-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке