Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.BankBot.7348

Добавлен в вирусную базу Dr.Web: 2021-02-07

Описание добавлено:

Техническая информация

Вредоносные функции:
Выполняет код следующих детектируемых угроз:
  • Android.BankBot.372.origin
Перехватывает входящие SMS и прекращает процесс их передачи обработчикам других приложений.
Детект на основе машинного обучения.
Сетевая активность:
Подключается к:
  • UDP(DNS) 8####.8.4.4:53
  • TCP(TLS/1.0) contex####.sir####.io:443
  • TCP(TLS/1.0) md####.google####.com:443
  • TCP(TLS/1.0) logs####.x####.com:443
  • TCP(TLS/1.0) cdn.jsde####.net:443
  • TCP(TLS/1.0) try.abt####.com:443
  • TCP(TLS/1.0) securep####.g.doublec####.net:443
  • TCP(TLS/1.0) b####.pb####.com:443
  • TCP(TLS/1.0) www.googlet####.com:443
  • TCP(TLS/1.0) actorss####.k####.com:443
  • TCP(TLS/1.0) m####.google####.com:443
  • TCP(TLS/1.0) c####.jq####.com:443
  • TCP(TLS/1.0) 64.2####.165.95:443
  • TCP(TLS/1.0) android####.go####.com:443
  • TCP(TLS/1.0) cdn.trustco####.net:443
  • TCP(TLS/1.0) m####.gst####.com:443
  • TCP(TLS/1.0) www.lap####.fr:443
  • TCP(TLS/1.0) b####.dev.pubs####.io:443
  • TCP(TLS/1.0) pri####.trustco####.net:443
  • TCP(TLS/1.0) c.amazon-####.com:443
  • TCP(TLS/1.0) kpi.adver####.com:443
  • TCP(TLS/1.0) cdn.ad####.fr:443
  • TCP(TLS/1.0) p####.google####.com:443
  • TCP(TLS/1.0) 2-01-2d####.cdx.ced####.net:443
  • TCP(TLS/1.0) 64.2####.164.95:443
  • TCP(TLS/1.2) 1####.177.14.94:443
  • TCP(TLS/1.2) 64.2####.165.95:443
  • TCP(TLS/1.2) 1####.194.73.138:443
Запросы DNS:
  • actorss####.k####.com
  • android####.go####.com
  • b####.dev.pubs####.io
  • b####.pb####.com
  • c####.jq####.com
  • c.amazon-####.com
  • cdn.ad####.fr
  • cdn.dev.pb####.com
  • cdn.jsde####.net
  • cdn.pb####.com
  • cdn.tagcomm####.com
  • cdn.trustco####.net
  • contex####.sir####.io
  • instant####.google####.com
  • kpi.adver####.com
  • logs####.x####.com
  • m####.go####.com
  • m####.google####.com
  • m####.gst####.com
  • md####.google####.com
  • p####.google####.com
  • pri####.trustco####.net
  • s####.c####.8.####.8
  • s####.club
  • securep####.g.doublec####.net
  • try.abt####.com
  • www.googlet####.com
  • www.lap####.fr
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/00b0e1ddae7d16f7_0
  • /data/data/####/010643271b187318_0
  • /data/data/####/02e1a94c1fe53eda_0
  • /data/data/####/076ce3946634b8ab_0
  • /data/data/####/076ce3946634b8ab_1
  • /data/data/####/0949ab2d2d1d518b_0
  • /data/data/####/098adf90e4a12666_0
  • /data/data/####/09daf70d868a55ab_0 (deleted)
  • /data/data/####/10239e6f1f0b8a46_0
  • /data/data/####/13fa3bc67a58adc1_0
  • /data/data/####/166b3406853965d3_0
  • /data/data/####/169b3366eae57cbb_0
  • /data/data/####/1b9189228fb7c33a_0
  • /data/data/####/1de349437fa424af_0
  • /data/data/####/2171f71fdf411ec7_0
  • /data/data/####/228efcbfd9f3b80f_0
  • /data/data/####/231020f78f0552b4_0
  • /data/data/####/2320d078d269212c_0
  • /data/data/####/2320d078d269212c_1
  • /data/data/####/2365e088fa745571_0
  • /data/data/####/2365e088fa745571_1
  • /data/data/####/24695cf682f7b583_0
  • /data/data/####/24695cf682f7b583_1
  • /data/data/####/27f0d93b38a33f04_0
  • /data/data/####/2cb591c40493dd65_0
  • /data/data/####/2d3b0ee2f9496297_0
  • /data/data/####/2d3b0ee2f9496297_1
  • /data/data/####/2e7cdb96bc15d6c4_0
  • /data/data/####/3048437e8762943f_0
  • /data/data/####/3048437e8762943f_1
  • /data/data/####/31b31aaaceed5d92_0
  • /data/data/####/342eb0fc3129a34b_0
  • /data/data/####/342eb0fc3129a34b_1
  • /data/data/####/39846ae3052cb2af_0
  • /data/data/####/39846ae3052cb2af_1
  • /data/data/####/39cb60ec88a0955f_0
  • /data/data/####/3a1ad414d6e0506a_0
  • /data/data/####/3e3206575424e275_0
  • /data/data/####/3ed0b59095f5e3fd_0
  • /data/data/####/42843760ae81540c_0
  • /data/data/####/42c4704f867a0757_0
  • /data/data/####/44c354f83e7fa459_0
  • /data/data/####/4718a9d7fd978979_0
  • /data/data/####/4718a9d7fd978979_1
  • /data/data/####/4ab6825761f89e57_0
  • /data/data/####/4ab841ae8e89daf1_0
  • /data/data/####/4ab841ae8e89daf1_1
  • /data/data/####/4ae6fab23e6f3393_0
  • /data/data/####/4ae6fab23e6f3393_1
  • /data/data/####/4b06366285c3e745_0
  • /data/data/####/4dda6ed2998f87d0_0
  • /data/data/####/52c517cb895496ad_0
  • /data/data/####/545c40dbc8217f7f_0
  • /data/data/####/545c40dbc8217f7f_1
  • /data/data/####/5a48e0ae573f27b0_0
  • /data/data/####/5a48e0ae573f27b0_1
  • /data/data/####/5b488122c9fa0153_0
  • /data/data/####/5f5cd0c217641e0b_0
  • /data/data/####/5f5cd0c217641e0b_1
  • /data/data/####/62fcb401b4c48db7_0
  • /data/data/####/63479e381d306dfc_0
  • /data/data/####/63479e381d306dfc_1
  • /data/data/####/63dce3de3af8a668_0 (deleted)
  • /data/data/####/640bea6e646d57d9_0
  • /data/data/####/6513c36dbc22f7bb_0
  • /data/data/####/67d111803740a026_0
  • /data/data/####/67d111803740a026_1
  • /data/data/####/68eca600ffeb324d_0
  • /data/data/####/68eca600ffeb324d_1
  • /data/data/####/6c084d4e9e310284_0
  • /data/data/####/6c084d4e9e310284_1
  • /data/data/####/6c31af79f9c73627_0
  • /data/data/####/6c31af79f9c73627_1
  • /data/data/####/6edc10927d536022_0
  • /data/data/####/71dd20d159da0d7b_0
  • /data/data/####/74a42150ac180670_0
  • /data/data/####/7dddd42b0869a381_0
  • /data/data/####/7eb4a14ba8bb098b_0
  • /data/data/####/80f192d2e0529ce3_0
  • /data/data/####/823320df1014825a_0
  • /data/data/####/82ee9d5322553349_0
  • /data/data/####/85d73f16d3876609_0
  • /data/data/####/886ba070e586a7c5_0 (deleted)
  • /data/data/####/894b56c8a990504a_0
  • /data/data/####/8ad6686ef977b0b0_0
  • /data/data/####/8baf5d5d9c152f06_0
  • /data/data/####/8baf5d5d9c152f06_1
  • /data/data/####/8c25d6c0d9de8e8c_0
  • /data/data/####/917170f32363e1b5_0
  • /data/data/####/91d1aa0e0afed248_0
  • /data/data/####/924515a4562e562c_0
  • /data/data/####/9509acbde1346eb6_0
  • /data/data/####/956efe04728268e9_0
  • /data/data/####/956efe04728268e9_1
  • /data/data/####/987a65a4a0d0f42b_0
  • /data/data/####/9c770c5b88f65868_0
  • /data/data/####/9cd7e87d184b4584_0
  • /data/data/####/9de117e6fece1059_0
  • /data/data/####/Cookies-journal
  • /data/data/####/WebViewChromiumPrefs.xml
  • /data/data/####/a2f521ce593800f4_0
  • /data/data/####/a3ca0ba8f2e630b3_0 (deleted)
  • /data/data/####/a46608eb12098194_0
  • /data/data/####/a649ac3ebf86c66b_0
  • /data/data/####/a70e004d031adfdd_0
  • /data/data/####/a70e004d031adfdd_1
  • /data/data/####/a7d0930b0de25d63_0
  • /data/data/####/a7d0930b0de25d63_1
  • /data/data/####/aba4ae2bfee75889_0
  • /data/data/####/b1bc59c55defbd2a_0
  • /data/data/####/b23545a40c26870e_0
  • /data/data/####/bie.zai.xiao.wo_preferences.xml
  • /data/data/####/c36ff360e1ba3e68_0
  • /data/data/####/c46f370f21e3e382_0
  • /data/data/####/c551197d7480b71f_0
  • /data/data/####/c6dc9106f635ba7d_0
  • /data/data/####/ccbdebd845e2fa6b_0
  • /data/data/####/d12e31565cbb021b_0 (deleted)
  • /data/data/####/d2e93d4489718998_0 (deleted)
  • /data/data/####/d40d61fd2b9cb728_0
  • /data/data/####/d41024d7056662f2_0
  • /data/data/####/db50290a69c274de_0
  • /data/data/####/db6d3fae2eb730a0_0
  • /data/data/####/db6d3fae2eb730a0_1
  • /data/data/####/e095178d74b30c64_0 (deleted)
  • /data/data/####/e361e16b3ff0ce91_0
  • /data/data/####/e7ef6a6491afc59b_0
  • /data/data/####/e87282409de068ce_0
  • /data/data/####/ec32e5afc656c5e7_0
  • /data/data/####/ed1dd4e4f8862753_0
  • /data/data/####/ef235f31b5ad6a22_0
  • /data/data/####/ef235f31b5ad6a22_1
  • /data/data/####/f070f33b50f26af7_0
  • /data/data/####/f5573d22d48f413d_0
  • /data/data/####/f729ea3405dfde4f_0
  • /data/data/####/f729ea3405dfde4f_1
  • /data/data/####/fa713e103a75a3de_0
  • /data/data/####/fb7623a88f09d282_0 (deleted)
  • /data/data/####/fc499899bae04249_0
  • /data/data/####/fcfa45222f16c332_0
  • /data/data/####/ff06c9ac917dc896_0
  • /data/data/####/ffa9a9bcdb38c2a5_0
  • /data/data/####/https_www.laposte.fr_0.localstorage-journal
  • /data/data/####/index
  • /data/data/####/metrics_guid
  • /data/data/####/mybank.xml
  • /data/data/####/mybank.xml.bak
  • /data/data/####/mycode.dex
  • /data/data/####/mycode.dex.flock (deleted)
  • /data/data/####/mycode.jar
  • /data/data/####/proc_auxv
  • /data/data/####/the-real-index
Другие:
Запускает следующие shell-скрипты:
  • /system/bin/dex2oat --runtime-arg -classpath --runtime-arg & --instruction-set=x86 --instruction-set-features=smp,ssse3,sse4.1,sse4.2,-avx,-avx2,-lock_add,popcnt --runtime-arg -Xrelocate --boot-image=/system/framework/boot.art --runtime-arg -Xms64m --runtime-arg -Xmx512m --instruction-set-variant=x86 --instruction-set-features=default --dex-file=/data/user/0/<Package>/app_cache/mycode.jar --oat-fd=33 --oat-location=/data/user/0/<Package>/app_cache/mycode.dex --compiler-filter=speed
  • app_process /system/bin com.android.commands.am.Am startservice --user 0 -n <Package>/com.t.n.g.bk.JVA
Использует следующие алгоритмы для расшифровки данных:
  • AES
  • DES
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Получает информацию об отправленых/принятых SMS.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 120+ странах мира
Техническая поддержка 24х7х365 Рус | En

© «Доктор Веб»
2003 — 2023

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А