Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Backdoor.2282

Добавлен в вирусную базу Dr.Web: 2019-05-11

Описание добавлено:

Техническая информация

Вредоносные функции:
Выполняет код следующих детектируемых угроз:
  • Android.Backdoor.657.origin
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.1) o####.map.b####.com:80
  • TCP(HTTP/1.1) and####.b####.qq.com:80
  • TCP(HTTP/1.1) amdc####.m.ta####.com:80
  • TCP(HTTP/1.1) loc.map.b####.com:80
  • TCP(TLS/1.0) api.map.b####.com:443
  • TCP(TLS/1.0) 1####.217.168.238:443
  • TCP zb-cent####.m.ta####.com:80
Запросы DNS:
  • ag####.m.ta####.com
  • amdc####.m.ta####.com
  • and####.b####.qq.com
  • api.map.b####.com
  • loc.map.b####.com
  • o####.map.b####.com
  • umengj####.m.ta####.com
Запросы HTTP POST:
  • amdc####.m.ta####.com/amdc/mobileDispatch?appkey=####&deviceId=####&plat...
  • and####.b####.qq.com/rqd/async
  • loc.map.b####.com/sdk.php
  • o####.map.b####.com/offline_loc
Изменения в файловой системе:
Создает следующие файлы:
  • /data/anr/traces.txt
  • /data/data/####/ACCS_SDK.xml
  • /data/data/####/ACCS_SDK_CHANNEL.xml
  • /data/data/####/Agoo_AppStore.xml
  • /data/data/####/Alvin2.xml
  • /data/data/####/ContextData.xml
  • /data/data/####/DaemonServer
  • /data/data/####/MessageStore.db
  • /data/data/####/MessageStore.db-journal
  • /data/data/####/MsgLogStore.db
  • /data/data/####/MsgLogStore.db-journal
  • /data/data/####/accs.db-journal
  • /data/data/####/agoo.pid
  • /data/data/####/authStatus_cn.ecook;remote.xml
  • /data/data/####/bugly_db_legu
  • /data/data/####/bugly_db_legu-journal
  • /data/data/####/cn.ecook.xml
  • /data/data/####/cn.ecook.xml.bak
  • /data/data/####/com.google.android.gms.analytics.prefs.xml
  • /data/data/####/com.google.android.gms.analytics.prefs.xml (deleted)
  • /data/data/####/com.google.android.gms.analytics.prefs.xml.bak
  • /data/data/####/com.google.android.gms.analytics.prefs.xml.bak (deleted)
  • /data/data/####/dW1weF9pbnRlcm5hbF8xNTU3NTg5NTU2NTU1;
  • /data/data/####/dW1weF9pbnRlcm5hbF8xNTU3NTg5NTU5OTY5;
  • /data/data/####/dW1weF9pbnRlcm5hbF8xNTU3NTg5NTUyNzg5;
  • /data/data/####/dW1weF9pbnRlcm5hbF8xNTU3NTg5NTY0MTkw;
  • /data/data/####/dW1weF9pbnRlcm5hbF8xNTU3NTg5NTY2MDk4;
  • /data/data/####/dW1weF9pbnRlcm5hbF8xNTU3NTg5NTg0ODAw;
  • /data/data/####/dW1weF9pbnRlcm5hbF8xNTU3NTg5NTgwNjAz;
  • /data/data/####/eudemon
  • /data/data/####/exchangeIdentity.json
  • /data/data/####/exid.dat
  • /data/data/####/firll.dat
  • /data/data/####/gal.db
  • /data/data/####/gal.db-journal
  • /data/data/####/google_analytics_v4.db-journal
  • /data/data/####/hst.db
  • /data/data/####/hst.db-journal
  • /data/data/####/i==1.2.0&&13.7.2_1557589552856_envelope.log
  • /data/data/####/info.xml
  • /data/data/####/libcuid.so
  • /data/data/####/libnfix.so
  • /data/data/####/libshella-2.10.6.0.so
  • /data/data/####/libufix.so
  • /data/data/####/local_crash_lock
  • /data/data/####/message_accs_db
  • /data/data/####/message_accs_db-journal
  • /data/data/####/mix.dex
  • /data/data/####/mix.so
  • /data/data/####/multidex.version.xml
  • /data/data/####/native_record_lock
  • /data/data/####/ofl.config
  • /data/data/####/ofl_location.db
  • /data/data/####/ofl_location.db-journal
  • /data/data/####/ofl_statistics.db
  • /data/data/####/ofl_statistics.db-journal
  • /data/data/####/security_info
  • /data/data/####/umeng_common_config.xml
  • /data/data/####/umeng_general_config.xml
  • /data/data/####/umeng_it.cache
  • /data/data/####/umeng_message_state.xml
  • /data/data/####/webview.db-journal
  • /data/data/####/webviewCookiesChromium.db-journal
  • /data/data/####/webviewCookiesChromiumPrivate.db-journal
  • /data/media/####/.cuid
  • /data/media/####/.cuid2
  • /data/media/####/.nomedia
  • /data/media/####/84a91165f7224dd1a62ab3e64c998df8
  • /data/media/####/Alvin2.xml
  • /data/media/####/ContextData.xml
  • /data/media/####/conlts.dat
  • /data/media/####/e6c1bd854c114653a0bd309b89da344d
  • /data/media/####/inapp_20190511.log
  • /data/media/####/ls.db
  • /data/media/####/ls.db-journal
  • /data/media/####/yoh.dat
  • /data/media/####/yol.dat
  • /data/media/####/yom.dat
Другие:
Запускает следующие shell-скрипты:
  • /system/bin/sh -c getprop ro.aa.romver
  • /system/bin/sh -c getprop ro.board.platform
  • /system/bin/sh -c getprop ro.build.fingerprint
  • /system/bin/sh -c getprop ro.build.nubia.rom.name
  • /system/bin/sh -c getprop ro.build.rom.id
  • /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
  • /system/bin/sh -c getprop ro.build.version.emui
  • /system/bin/sh -c getprop ro.build.version.opporom
  • /system/bin/sh -c getprop ro.gn.gnromvernumber
  • /system/bin/sh -c getprop ro.lenovo.series
  • /system/bin/sh -c getprop ro.lewa.version
  • /system/bin/sh -c getprop ro.meizu.product.model
  • /system/bin/sh -c getprop ro.miui.ui.version.name
  • /system/bin/sh -c getprop ro.vivo.os.build.display.id
  • /system/bin/sh -c type su
  • <Package Folder>/files/DaemonServer -s <Package Folder>/lib/ -n runServer -p startservice -n <Package>/com.taobao.accs.ChannelService --user 0 -f <Package Folder> -t 600 -c agoo.pid -P <Package Folder> -K 1009527 -U tb_accs_eudemon_1.1.3 -L http://agoodm.m.taobao.com/agoo/report -D {"package":"<Package>","appKey":"umeng:4f84d47f527015462b00002a","utdid":"XNbuMPnG0DwDAGdzx1FSiYf3","sdkVersion":"221"} -I agoodm.m.taobao.com -O 80 -T -Z
  • chmod 500 <Package Folder>/files/DaemonServer
  • chmod 700 <Package Folder>/tx_shell/libnfix.so
  • chmod 700 <Package Folder>/tx_shell/libshella-2.10.6.0.so
  • chmod 700 <Package Folder>/tx_shell/libufix.so
  • getprop ro.aa.romver
  • getprop ro.board.platform
  • getprop ro.build.fingerprint
  • getprop ro.build.nubia.rom.name
  • getprop ro.build.rom.id
  • getprop ro.build.tyd.kbstyle_version
  • getprop ro.build.version.emui
  • getprop ro.build.version.opporom
  • getprop ro.gn.gnromvernumber
  • getprop ro.lenovo.series
  • getprop ro.lewa.version
  • getprop ro.meizu.product.model
  • getprop ro.miui.ui.version.name
  • getprop ro.vivo.os.build.display.id
  • getprop ro.yunos.version
  • grep 3310
  • logcat -d -v threadtime
  • ls /sys/class/thermal
  • ps
  • ps 2313
  • ps 2412
  • ps 2449
  • ps 2584
  • ps 2693
  • ps 2799
  • ps 2880
  • ps 3025
  • ps 3053
  • ps 3212
  • ps 3310
  • sh
Загружает динамические библиотеки:
  • Bugly
  • libnfix
  • libshella-2.10.6.0
  • libufix
  • locSDK7a
  • nfix
  • tnet-3.1
  • tusdk-library
  • ufix
Использует следующие алгоритмы для шифрования данных:
  • AES-CBC-PKCS5Padding
  • AES-GCM-NoPadding
  • RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
  • AES-CBC-PKCS5Padding
  • AES-CBC-PKCS7Padding
  • AES-GCM-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Добавляет задания в системный планировщик.
Управляет Wi-Fi-подключением.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке