ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Triada.4912

Добавлен в вирусную базу Dr.Web: 2021-03-25

Описание добавлено:

SHA1-хеши:

  • 3e7e5de03e1e1cb472703602d5f8296e7aec3239 (первая модификация, обнаруженная 25.03.2021)
  • 1d97a5ba869526433d09f315c4bb1c66dac7dddd (модификация, обнаруженная 02.04.2021)
  • 2ea82dcc114b75ce09a37a8f1b07675ca528d7c9 (arm-версия, актуальная на момент анализа)
  • a6490426bc4c94a70225285b94120c49b10e62d8 (x86-версия, актуальная на момент анализа)

Описание

Android-троян, встроенный в официальное клиентское приложение каталога APKPure версии 3.17.18. Его главная функция — запуск скрытого в его коде вредоносного модуля, скачивающего другие троянские компоненты, а также загружающего различные веб-сайты.

Принцип действия

Для защиты от анализа в Android.Triada.4912 применены различные механизмы. Его код содержит большое число «мусорных» строк и имеет множество вызовов через рефлексию. Кроме того, имена методов и классов, вызываемых через рефлексию, а также строки вредоносного приложения зашифрованы операцией XOR с ключом d4as56fads4f4 и Base64.

Инициализация трояна происходит в классе ZcoupSDK, для этого в методе initInternal добавлена следующая строка:

W1a3s4t9B0.Go(arg5.getApplicationContext(), "2021-3-22-ssk015-ym2", null, 1);

Для сравнения на изображении ниже показаны соответствующие фрагменты кода приложения APKPure с трояном и без него:

#drweb

Android.Triada.4912 расшифровывает из зашитой в него строки полезную нагрузку (Android.Triada.566.origin), помещая ее в директорию /files/*package_name*_s/. Кроме того, он расшифровывает имя основного класса этого вредоносного модуля — com.bb.s2x2e.go.AAA. После успешной расшифровки полезной нагрузки троян выполняет в ней метод initMe и загружает ее в память.

В Android.Triada.4912 через рефлексию реализованы вызовы следующих методов из полезной нагрузки:
  • initMe
  • readData
  • delayTime
  • clickTime
  • closeTime
  • count
  • chanEanble
  • time
  • setPackageName
  • setSourceDir
  • setPublicSourceDir
  • getFBApk

Новость о трояне

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

Dr.Web © «Доктор Веб»
2003 — 2021

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А