Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Mobifun.283

Добавлен в вирусную базу Dr.Web: 2021-09-09

Описание добавлено:

Техническая информация

Вредоносные функции:
Выполняет код следующих детектируемых угроз:
  • Android.Mobifun.11.origin
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(TLS/1.0) f####.only####.com:443
  • TCP(TLS/1.0) c####.isp####.com:443
  • TCP(TLS/1.0) 1####.177.14.139:443
Запросы DNS:
  • c####.isp####.com
  • f####.only####.com
Запросы HTTP POST:
  • f####.only####.com:443/12/reg/20K4D5L15RAPOGG6
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/.jg.ic
  • /data/data/####/0bc7e620_413a_4cba_90d1_b7534b5c2f53.jar
  • /data/data/####/0bf174e0_6176_4e8c_a8b8_ab1d506fc2e4.jar
  • /data/data/####/1B9F3D365A2D3600ED8CEF0569F1A390.xml
  • /data/data/####/1b367037_c637_4cd0_8d7f_9f336e67acaf.jar
  • /data/data/####/1d8ad65c_1c1f_403a_88fe_d4887902889d.jar
  • /data/data/####/2B1A20526240CCDA08CA9264AE00F11A.xml
  • /data/data/####/31d15d22_fb6a_4c01_88b9_3542406b59e8.jar
  • /data/data/####/4b27f5ac_f9b2_45a7_b0a2_f514dac5b811.jar
  • /data/data/####/529e9c11_0936_43f2_8d01_826d40c526ba.jar
  • /data/data/####/645b6d0e_a9fe_4fbb_b7f2_b63526e5bd50.jar
  • /data/data/####/6f7684a5_52ad_44f7_914d_9996d271db0b.jar
  • /data/data/####/900be648_af36_4d47_bc4f_2d247a4fd733.jar
  • /data/data/####/91095B8CFB38A291412563D946E9DE26.xml
  • /data/data/####/9598da19_dfe9_40de_a729_d3d76cf67c5a.jar
  • /data/data/####/9a2f6ce9_108f_4a37_a53c_c06793a1f465.jar
  • /data/data/####/acbe2ca1_3658_4afd_99da_df17bf1b4445.jar
  • /data/data/####/b6ac85e4_cbd7_4486_871a_2029e2ffd49f.jar
  • /data/data/####/b9542fd4_1973_4404_9d88_d4841e2f0cd0.jar
  • /data/data/####/cb361051_79f8_4489_ab92_f8992474080e.jar
  • /data/data/####/cfc77bbe_1e7f_4c53_9669_d42b084bd075.jar
  • /data/data/####/d0bc58ac_f069_40cd_b923_fc73af9428cc.jar
  • /data/data/####/df6445b0_3550_4d23_9bbf_3dc619a42026.jar
  • /data/data/####/f12992c3_6337_49b7_93e5_5e6556e1a6e5.jar
  • /data/data/####/gipdd982fda82b17d4692972ca4c15222106e.so
  • /data/data/####/jquery_1_7.applet
  • /data/data/####/libjiagu1423574422.so
  • /data/data/####/lufls6c58d6f57a564a2a9b8a387fe357d175.so
  • /data/data/####/na.so
  • /data/data/####/oegigo
  • /data/data/####/pay_event_7_7.applet
  • /data/data/####/pay_method_card_1_7.applet
  • /data/data/####/pay_method_mobile_2_7.applet
  • /data/data/####/pay_sms_6_7.applet
  • /data/data/####/qihoo_jiagu_crash_report.xml
  • /data/data/####/qspbvc8fb0fc4d4f5447f9cd341bcc180d85d.so
  • /data/data/####/rwsusc73dec02dcb54dd28d20d75dc0f408b3.so
  • /data/data/####/tubxdl.jar
  • /data/media/####/gpay_jquery_1_7.ap
  • /data/media/####/gpay_pay_event_7_7.ap
  • /data/media/####/gpay_pay_method_card_1_7.ap
  • /data/media/####/gpay_pay_method_mobile_2_7.ap
  • /data/media/####/gpay_pay_sms_6_7.ap
Другие:
Запускает следующие shell-скрипты:
  • app_process /system/bin com.android.commands.pm.Pm list package
  • cat /proc/cpuinfo
  • chmod 755 <Package Folder>/.jiagu/libjiagu1423574422.so
  • pm list package
  • ps
Загружает динамические библиотеки:
  • cocos2dcpp
  • gipdd982fda82b17d4692972ca4c15222106e
  • libjiagu1423574422
  • lufls6c58d6f57a564a2a9b8a387fe357d175
  • na
  • oegigo
  • qspbvc8fb0fc4d4f5447f9cd341bcc180d85d
  • rwsusc73dec02dcb54dd28d20d75dc0f408b3
Использует следующие алгоритмы для шифрования данных:
  • AES-CBC-NoPadding
  • AES-CBC-PKCS5Padding
  • AES-ECB-PKCS5Padding
  • RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
  • AES
  • AES-CBC-NoPadding
  • AES-CBC-PKCS5Padding
  • AES-CFB-NoPadding
  • RSA-ECB-PKCS1Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

© «Доктор Веб»
2003 — 2022

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А