Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.BankBot.6479

Добавлен в вирусную базу Dr.Web: 2021-01-20

Описание добавлено:

Техническая информация

Вредоносные функции:
Выполняет код следующих детектируемых угроз:
  • Android.BankBot.780.origin
Скрывает свою иконку с экрана.
Сетевая активность:
Подключается к:
  • UDP(DNS) 8####.8.4.4:53
  • TCP(HTTP/1.1) mlxwyyf####.ru:80
  • TCP(HTTP/1.1) lkutthe####.com:80
  • TCP(TLS/1.0) md####.google####.com:443
  • TCP(TLS/1.0) 64.2####.161.95:443
  • TCP(TLS/1.0) and####.cli####.go####.com:443
  • TCP(TLS/1.0) p####.google####.com:443
  • TCP(TLS/1.0) 1####.194.222.95:443
  • TCP(TLS/1.0) safebro####.google####.com:443
  • TCP(TLS/1.2) 1####.194.221.101:443
  • TCP(TLS/1.2) 64.2####.165.94:443
  • TCP(TLS/1.2) 1####.194.222.95:443
Запросы DNS:
  • abeulxt####.ru
  • abeulxt####.ru.8.####.8
  • ajanfpi####.ru
  • ajanfpi####.ru.8.####.8
  • ajmhtba####.com
  • ajmhtba####.com.8.####.8
  • aksjiig####.cn
  • aksjiig####.cn.8.####.8
  • and####.cli####.go####.com
  • anikdus####.cn
  • anikdus####.cn.8.####.8
  • aoyymbo####.ru
  • aoyymbo####.ru.8.####.8
  • bdbcohx####.ru
  • bdbcohx####.ru.8.####.8
  • bdsmdnc####.cn
  • bdsmdnc####.cn.8.####.8
  • bgjxgfu####.com
  • bgjxgfu####.com.8.####.8
  • bhllodt####.ru
  • bhllodt####.ru.8.####.8
  • bjqhxhq####.cn
  • bjqhxhq####.cn.8.####.8
  • brkkffv####.ru
  • brkkffv####.ru.8.####.8
  • brkolex####.com
  • brkolex####.com.8.####.8
  • btxalmp####.com
  • btxalmp####.com.8.####.8
  • bwyhjkl####.cn
  • bwyhjkl####.cn.8.####.8
  • bykstpn####.cn
  • bykstpn####.cn.8.####.8
  • cdollwr####.ru
  • cdollwr####.ru.8.####.8
  • cicsphn####.com
  • cicsphn####.com.8.####.8
  • ckxeslo####.com
  • ckxeslo####.com.8.####.8
  • clhcfpi####.com
  • clhcfpi####.com.8.####.8
  • clqqpli####.cn
  • clqqpli####.cn.8.####.8
  • cmuvkej####.ru
  • cmuvkej####.ru.8.####.8
  • cqvwdss####.com
  • cqvwdss####.com.8.####.8
  • cwgwgti####.com
  • cwgwgti####.com.8.####.8
  • datufco####.com
  • datufco####.com.8.####.8
  • dfssryc####.com
  • dfssryc####.com.8.####.8
  • drerkbu####.ru
  • ebtmxlq####.cn
  • ebtmxlq####.cn.8.####.8
  • ectlcbp####.com
  • ectlcbp####.com.8.####.8
  • eeucvcl####.cn
  • eeucvcl####.cn.8.####.8
  • efgigta####.cn
  • efgigta####.cn.8.####.8
  • efgotmj####.cn
  • efgotmj####.cn.8.####.8
  • ehxkuhf####.ru
  • ehxkuhf####.ru.8.####.8
  • essjpbx####.cn
  • essjpbx####.cn.8.####.8
  • faxvqno####.com
  • faxvqno####.com.8.####.8
  • felqkct####.ru
  • felqkct####.ru.8.####.8
  • fikcosu####.cn
  • fikcosu####.cn.8.####.8
  • fqddlbn####.cn
  • fqddlbn####.cn.8.####.8
  • gatpowa####.cn
  • gatpowa####.cn.8.####.8
  • gbmhyqm####.ru
  • gbmhyqm####.ru.8.####.8
  • gbxpljw####.ru
  • gbxpljw####.ru.8.####.8
  • gcwttui####.com
  • gcwttui####.com.8.####.8
  • gcytvbt####.cn
  • gcytvbt####.cn.8.####.8
  • ggskbqj####.cn
  • ggskbqj####.cn.8.####.8
  • gibysrw####.ru
  • gibysrw####.ru.8.####.8
  • gscaxlp####.ru
  • gscaxlp####.ru.8.####.8
  • gtpuyat####.cn
  • gtpuyat####.cn.8.####.8
  • gxmxkgx####.cn
  • gxmxkgx####.cn.8.####.8
  • gyfixxr####.com
  • gyfixxr####.com.8.####.8
  • hiotlwv####.ru
  • hiotlwv####.ru.8.####.8
  • hkxnqwr####.ru
  • hkxnqwr####.ru.8.####.8
  • hrtlxrm####.ru
  • hrtlxrm####.ru.8.####.8
  • hscqeak####.com
  • hscqeak####.com.8.####.8
  • hyoxshr####.cn
  • hyoxshr####.cn.8.####.8
  • iberfjr####.cn
  • iberfjr####.cn.8.####.8
  • icgxmbc####.ru
  • icgxmbc####.ru.8.####.8
  • ihsvwdj####.com
  • ihsvwdj####.com.8.####.8
  • ihwliht####.cn
  • ihwliht####.cn.8.####.8
  • iloomdl####.cn
  • iloomdl####.cn.8.####.8
  • instant####.google####.com
  • iqdbypv####.cn
  • iqdbypv####.cn.8.####.8
  • jtjyprs####.com
  • jtjyprs####.com.8.####.8
  • juagqoj####.ru
  • juagqoj####.ru.8.####.8
  • jubqxti####.cn
  • jubqxti####.cn.8.####.8
  • jwrynmd####.com
  • jwrynmd####.com.8.####.8
  • jyiceic####.ru
  • jyiceic####.ru.8.####.8
  • kdaylsj####.cn
  • kdaylsj####.cn.8.####.8
  • kjfckgs####.ru
  • kjfckgs####.ru.8.####.8
  • kmmfwgf####.com
  • kmmfwgf####.com.8.####.8
  • kmrihbg####.cn
  • kmrihbg####.cn.8.####.8
  • kqhqoju####.com
  • kqhqoju####.com.8.####.8
  • kxuctna####.com
  • kxuctna####.com.8.####.8
  • lbxomcx####.com
  • lbxomcx####.com.8.####.8
  • ljjcrmx####.cn
  • ljjcrmx####.cn.8.####.8
  • lkutthe####.com
  • lpfenwo####.com
  • lpfenwo####.com.8.####.8
  • lqgtdwn####.cn
  • lqgtdwn####.cn.8.####.8
  • luvpshw####.cn
  • luvpshw####.cn.8.####.8
  • lylclle####.ru
  • lylclle####.ru.8.####.8
  • mbwrjiv####.com
  • mbwrjiv####.com.8.####.8
  • md####.google####.com
  • mghjqnd####.ru
  • mghjqnd####.ru.8.####.8
  • mhpqksv####.com
  • mhpqksv####.com.8.####.8
  • mjkqlxn####.com
  • mjkqlxn####.com.8.####.8
  • mlxwyyf####.ru
  • mpmtluj####.com
  • mpmtluj####.com.8.####.8
  • mqfwldh####.cn
  • mqfwldh####.cn.8.####.8
  • mqgeqyt####.ru
  • mqgeqyt####.ru.8.####.8
  • mshxceb####.cn
  • mshxceb####.cn.8.####.8
  • mtcxtjd####.ru
  • mtcxtjd####.ru.8.####.8
  • mvpvhxb####.cn
  • mvpvhxb####.cn.8.####.8
  • mythqeu####.com
  • mythqeu####.com.8.####.8
  • necwvds####.ru
  • necwvds####.ru.8.####.8
  • nhomgqd####.com
  • nhomgqd####.com.8.####.8
  • njxcowm####.com
  • njxcowm####.com.8.####.8
  • nmgnypa####.ru
  • nmgnypa####.ru.8.####.8
  • nrbneuy####.com
  • nrbneuy####.com.8.####.8
  • oclnsxk####.ru
  • oclnsxk####.ru.8.####.8
  • ogqptua####.com
  • ogqptua####.com.8.####.8
  • opfvtrp####.cn
  • opfvtrp####.cn.8.####.8
  • p####.google####.com
  • pbpxfre####.ru
  • pbpxfre####.ru.8.####.8
  • pbykufm####.cn
  • pbykufm####.cn.8.####.8
  • pinhrgs####.com
  • pinhrgs####.com.8.####.8
  • pkbofre####.cn
  • pkbofre####.cn.8.####.8
  • pmtqbib####.ru
  • pmtqbib####.ru.8.####.8
  • pqjgnhq####.cn
  • pqjgnhq####.cn.8.####.8
  • prktkpp####.cn
  • prktkpp####.cn.8.####.8
  • puhjnda####.com
  • puhjnda####.com.8.####.8
  • pvqujgb####.ru
  • pvqujgb####.ru.8.####.8
  • pwkgcon####.ru
  • pwkgcon####.ru.8.####.8
  • qkljdoj####.ru
  • qkljdoj####.ru.8.####.8
  • qnejhrw####.ru
  • qnejhrw####.ru.8.####.8
  • qowtxnr####.ru
  • qowtxnr####.ru.8.####.8
  • quchbty####.cn
  • quchbty####.cn.8.####.8
  • qylmhqv####.com
  • qylmhqv####.com.8.####.8
  • rektlkv####.ru
  • rektlkv####.ru.8.####.8
  • rktxbln####.ru
  • rktxbln####.ru.8.####.8
  • safebro####.google####.com
  • scgtsux####.com
  • scgtsux####.com.8.####.8
  • sdmxxpa####.ru
  • sdmxxpa####.ru.8.####.8
  • sdqabbu####.com
  • sdqabbu####.com.8.####.8
  • sxdkwch####.cn
  • sxdkwch####.cn.8.####.8
  • tktaqet####.cn
  • tktaqet####.cn.8.####.8
  • ucvsdko####.com
  • ucvsdko####.com.8.####.8
  • udneccw####.com
  • udneccw####.com.8.####.8
  • ufwcslq####.ru
  • ufwcslq####.ru.8.####.8
  • uhidltj####.cn
  • uhidltj####.cn.8.####.8
  • ujhfbya####.com
  • ujhfbya####.com.8.####.8
  • umksqlm####.com
  • umksqlm####.com.8.####.8
  • unbsgcp####.ru
  • unbsgcp####.ru.8.####.8
  • unctghu####.com
  • unctghu####.com.8.####.8
  • uohubqa####.cn
  • uohubqa####.cn.8.####.8
  • vdmclsd####.ru
  • vdmclsd####.ru.8.####.8
  • vqplhqa####.cn
  • vqplhqa####.cn.8.####.8
  • vvtqghp####.ru
  • vvtqghp####.ru.8.####.8
  • wiwsdrr####.com
  • wiwsdrr####.com.8.####.8
  • xbrswbl####.ru
  • xbrswbl####.ru.8.####.8
  • xtuhqfr####.cn
  • xtuhqfr####.cn.8.####.8
  • xwesqyh####.cn
  • xwesqyh####.cn.8.####.8
  • ybthawp####.ru
  • ybthawp####.ru.8.####.8
  • yctnhsa####.com
  • yctnhsa####.com.8.####.8
  • ycxncpa####.ru
  • ycxncpa####.ru.8.####.8
  • yfpyxqb####.com
  • yfpyxqb####.com.8.####.8
  • yfwfavj####.cn
  • yfwfavj####.cn.8.####.8
  • yvlugng####.ru
  • yvlugng####.ru.8.####.8
  • yxmpehj####.com
  • yxmpehj####.com.8.####.8
  • yybptyf####.cn
  • yybptyf####.cn.8.####.8
Запросы HTTP POST:
  • lkutthe####.com/poll.php
  • mlxwyyf####.ru/poll.php
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/Correos.xml
  • /data/data/####/classes-v1.bin
  • /data/data/####/classes-v1.dex
  • /data/data/####/classes-v1.dex.flock (deleted)
  • /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
  • /system/bin/dex2oat --runtime-arg -classpath --runtime-arg & --instruction-set=x86_64 --instruction-set-features=smp,ssse3,sse4.1,sse4.2,-avx,-avx2,-lock_add,popcnt --runtime-arg -Xrelocate --boot-image=/system/framework/boot.art --runtime-arg -Xms64m --runtime-arg -Xmx512m --instruction-set-variant=x86_64 --instruction-set-features=default --dex-file=/data/user/0/<Package>/app_apkprotector_dex/classes-v1.bin --oat-fd=33 --oat-location=/data/user/0/<Package>/app_apkprotector_dex/classes-v1.dex --compiler-filter=speed
Использует следующие алгоритмы для шифрования данных:
  • RSA-ECB-PKCS1Padding
Получает информацию о сети.
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Получает информацию об отправленых/принятых SMS.
Перехватывает уведомления.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке