Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Dialer.323

Добавлен в вирусную базу Dr.Web: 2025-02-17

Описание добавлено:

Техническая информация

Вредоносные функции:
Выполняет код следующих детектируемых угроз:
  • Android.Dialer.25.origin
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(TLS/1.0) p####.google####.com:443
  • TCP(TLS/1.0) rr6---s####.g####.com:443
  • TCP(TLS/1.0) and####.google####.com:443
  • TCP(TLS/1.0) gmscomp####.google####.com:443
  • TCP(TLS/1.0) 1####.250.74.35:443
  • TCP(TLS/1.0) pla####.google####.com:443
  • TCP(TLS/1.0) rr9---s####.g####.com:443
  • TCP(TLS/1.0) re####.co:443
  • TCP(TLS/1.2) gmscomp####.google####.com:443
  • TCP(TLS/1.2) 1####.250.74.100:443
  • TCP(TLS/1.2) 1####.250.74.35:443
  • TCP(TLS/1.2) 1####.217.21.174:443
  • UDP p####.google####.com:443
Запросы DNS:
  • and####.google####.com
  • gmscomp####.google####.com
  • p####.google####.com
  • pla####.google####.com
  • re####.co
  • rr6---s####.g####.com
  • rr9---s####.g####.com
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/3qXfqfGNvmjSKP0nb0gelWztvMoiAA4S.dex
  • /data/data/####/3qXfqfGNvmjSKP0nb0gelWztvMoiAA4S.dex.flock (deleted)
  • /data/data/####/79tlP3AlwuJ2Xe4R6EsoBETB1X2lKnMs.dex
  • /data/data/####/79tlP3AlwuJ2Xe4R6EsoBETB1X2lKnMs.dex.flock (deleted)
  • /data/data/####/7iqWPOHp1X0Mge0teyUT89GnmZaksvXf.dex
  • /data/data/####/7iqWPOHp1X0Mge0teyUT89GnmZaksvXf.dex.flock (deleted)
  • /data/data/####/9ocyAuMnEGsbeFAXhjnbdEDpH1nM66I4.dex
  • /data/data/####/9ocyAuMnEGsbeFAXhjnbdEDpH1nM66I4.dex.flock (deleted)
  • /data/data/####/ANCc6gL1IogHmaKt8aaJuvrZJ7DW1ULA.dex
  • /data/data/####/ANCc6gL1IogHmaKt8aaJuvrZJ7DW1ULA.dex.flock (deleted)
  • /data/data/####/Ays3GfGEzFcTiLFGOsAzzkH3bAiIQddP.dex
  • /data/data/####/Ays3GfGEzFcTiLFGOsAzzkH3bAiIQddP.dex.flock (deleted)
  • /data/data/####/DFOLnNAK39l3Fd5aDRnCAbYIbcLhIoIk.dex
  • /data/data/####/DFOLnNAK39l3Fd5aDRnCAbYIbcLhIoIk.dex.flock (deleted)
  • /data/data/####/E15UD4ph9EQYt1FUxSEI0riN4X13euSH.dex
  • /data/data/####/E15UD4ph9EQYt1FUxSEI0riN4X13euSH.dex.flock (deleted)
  • /data/data/####/FtniQF8b0LgvU28IGlf8ollhDZ7MTrMP.dex
  • /data/data/####/FtniQF8b0LgvU28IGlf8ollhDZ7MTrMP.dex.flock (deleted)
  • /data/data/####/GIRW9X2Ls62HyNUvBk9mJJ6dSMw86vUe.dex
  • /data/data/####/GIRW9X2Ls62HyNUvBk9mJJ6dSMw86vUe.dex.flock (deleted)
  • /data/data/####/HbAQthJvv4SjkokDHj6dGvr17KI3vFh2.dex
  • /data/data/####/HbAQthJvv4SjkokDHj6dGvr17KI3vFh2.dex.flock (deleted)
  • /data/data/####/IhT4R2ABOAJwKXatWOD92Q6bVNtQ4Eeu.dex
  • /data/data/####/IhT4R2ABOAJwKXatWOD92Q6bVNtQ4Eeu.dex.flock (deleted)
  • /data/data/####/LoCqZ5U8Y1RwNpoPlZSaG2vhu7753Cnp.dex
  • /data/data/####/LoCqZ5U8Y1RwNpoPlZSaG2vhu7753Cnp.dex.flock (deleted)
  • /data/data/####/MWSElrOqjyeXZ46Qy6jZhEBUIi6JIcPf.dex
  • /data/data/####/MWSElrOqjyeXZ46Qy6jZhEBUIi6JIcPf.dex.flock (deleted)
  • /data/data/####/NF7LO5ZHBJNiyjJITbhupoQtPFfm6qf4.dex
  • /data/data/####/NF7LO5ZHBJNiyjJITbhupoQtPFfm6qf4.dex.flock (deleted)
  • /data/data/####/QvzU05zlB53sfB8Nn5JfDcwj1eUKG7cQ.dex
  • /data/data/####/QvzU05zlB53sfB8Nn5JfDcwj1eUKG7cQ.dex.flock (deleted)
  • /data/data/####/RqIqwCjUPTCWloLvvQrKJTxMe6wsxIy4.dex
  • /data/data/####/RqIqwCjUPTCWloLvvQrKJTxMe6wsxIy4.dex.flock (deleted)
  • /data/data/####/T5ADu3QHXFw3S0NrC30oX8YLUeGLT7c2.dex
  • /data/data/####/T5ADu3QHXFw3S0NrC30oX8YLUeGLT7c2.dex.flock (deleted)
  • /data/data/####/WLkXwhu7X7XdMejG4g58UrlJ7G0DZoGi.dex
  • /data/data/####/WLkXwhu7X7XdMejG4g58UrlJ7G0DZoGi.dex.flock (deleted)
  • /data/data/####/bzwVYKmNhVrm9YsrDkqfyvQ7pfkwtokb.dex
  • /data/data/####/bzwVYKmNhVrm9YsrDkqfyvQ7pfkwtokb.dex.flock (deleted)
  • /data/data/####/com.call.sms.jisao_preferences.xml
  • /data/data/####/com.call.sms.jisao_preferences.xml.bak
  • /data/data/####/hmtAWUHW1GTiuNhNy0tJIaaapAcpM5Yi.dex
  • /data/data/####/hmtAWUHW1GTiuNhNy0tJIaaapAcpM5Yi.dex.flock (deleted)
  • /data/data/####/i7szg6CbNP9WJ66DmJD4Yp4Mmzo8R6cO.dex
  • /data/data/####/i7szg6CbNP9WJ66DmJD4Yp4Mmzo8R6cO.dex.flock (deleted)
  • /data/data/####/ldjCpXZYQqqblJtO67C9z7awatMJtdsN.dex
  • /data/data/####/ldjCpXZYQqqblJtO67C9z7awatMJtdsN.dex.flock (deleted)
  • /data/data/####/lgvXRhavRZMTgGm1j1lCC5G6MsC7NMta.dex
  • /data/data/####/lgvXRhavRZMTgGm1j1lCC5G6MsC7NMta.dex.flock (deleted)
  • /data/data/####/natives_sec_blob1042468375.dex
  • /data/data/####/natives_sec_blob1042468375.dex (deleted)
  • /data/data/####/natives_sec_blob1176656011.dex
  • /data/data/####/natives_sec_blob1176656011.dex (deleted)
  • /data/data/####/natives_sec_blob1686255822.dex
  • /data/data/####/natives_sec_blob1686255822.dex (deleted)
  • /data/data/####/natives_sec_blob1705423593.dex
  • /data/data/####/natives_sec_blob1705423593.dex (deleted)
  • /data/data/####/natives_sec_blob248823339.dex
  • /data/data/####/natives_sec_blob248823339.dex (deleted)
  • /data/data/####/natives_sec_blob598202917.dex
  • /data/data/####/natives_sec_blob598202917.dex (deleted)
  • /data/data/####/natives_sec_blob722711554.dex
  • /data/data/####/natives_sec_blob722711554.dex (deleted)
  • /data/data/####/natives_sec_blob735121482.dex
  • /data/data/####/natives_sec_blob735121482.dex (deleted)
  • /data/data/####/phLGurLEbmGstBDZhM7DUz78llPZD8pc.dex
  • /data/data/####/phLGurLEbmGstBDZhM7DUz78llPZD8pc.dex.flock (deleted)
  • /data/data/####/qN0UZqM26cJufKAtE9PLxyZmmpjyWpR5.dex
  • /data/data/####/qN0UZqM26cJufKAtE9PLxyZmmpjyWpR5.dex.flock (deleted)
  • /data/data/####/qlUsz0XQOomoCyPVHgbMg7WvSuDVrXzB.dex
  • /data/data/####/qlUsz0XQOomoCyPVHgbMg7WvSuDVrXzB.dex.flock (deleted)
  • /data/data/####/rDJZrR2GJD5H1wfEjXPGCeL4AOBhQWai.dex
  • /data/data/####/rDJZrR2GJD5H1wfEjXPGCeL4AOBhQWai.dex.flock (deleted)
  • /data/data/####/rgg4dX9jUESFVO2X0uiHLwzpGgH3af1A.dex
  • /data/data/####/rgg4dX9jUESFVO2X0uiHLwzpGgH3af1A.dex.flock (deleted)
  • /data/data/####/ryOf4xFBF7ktV2t0aPsybEqxeAEb11Yu.dex
  • /data/data/####/ryOf4xFBF7ktV2t0aPsybEqxeAEb11Yu.dex.flock (deleted)
  • /data/data/####/vrXbWFeuKaekw5bNY1UySYQnlt0VTZCZ.dex
  • /data/data/####/vrXbWFeuKaekw5bNY1UySYQnlt0VTZCZ.dex.flock (deleted)
  • /data/data/####/w1wPwaMyAQ5zm9sGC24xvv75oAx0SUzr.dex
  • /data/data/####/w1wPwaMyAQ5zm9sGC24xvv75oAx0SUzr.dex.flock (deleted)
Другие:
Запускает следующие shell-скрипты:
  • logcat
  • logcat -c
  • rm -r/data/user/0/<Package>/app_ded/3qXfqfGNvmjSKP0nb0gelWztvMoiAA4S.dex
  • rm -r/data/user/0/<Package>/app_ded/79tlP3AlwuJ2Xe4R6EsoBETB1X2lKnMs.dex
  • rm -r/data/user/0/<Package>/app_ded/7iqWPOHp1X0Mge0teyUT89GnmZaksvXf.dex
  • rm -r/data/user/0/<Package>/app_ded/9ocyAuMnEGsbeFAXhjnbdEDpH1nM66I4.dex
  • rm -r/data/user/0/<Package>/app_ded/ANCc6gL1IogHmaKt8aaJuvrZJ7DW1ULA.dex
  • rm -r/data/user/0/<Package>/app_ded/Ays3GfGEzFcTiLFGOsAzzkH3bAiIQddP.dex
  • rm -r/data/user/0/<Package>/app_ded/DFOLnNAK39l3Fd5aDRnCAbYIbcLhIoIk.dex
  • rm -r/data/user/0/<Package>/app_ded/E15UD4ph9EQYt1FUxSEI0riN4X13euSH.dex
  • rm -r/data/user/0/<Package>/app_ded/FtniQF8b0LgvU28IGlf8ollhDZ7MTrMP.dex
  • rm -r/data/user/0/<Package>/app_ded/GIRW9X2Ls62HyNUvBk9mJJ6dSMw86vUe.dex
  • rm -r/data/user/0/<Package>/app_ded/HbAQthJvv4SjkokDHj6dGvr17KI3vFh2.dex
  • rm -r/data/user/0/<Package>/app_ded/IhT4R2ABOAJwKXatWOD92Q6bVNtQ4Eeu.dex
  • rm -r/data/user/0/<Package>/app_ded/LoCqZ5U8Y1RwNpoPlZSaG2vhu7753Cnp.dex
  • rm -r/data/user/0/<Package>/app_ded/MWSElrOqjyeXZ46Qy6jZhEBUIi6JIcPf.dex
  • rm -r/data/user/0/<Package>/app_ded/NF7LO5ZHBJNiyjJITbhupoQtPFfm6qf4.dex
  • rm -r/data/user/0/<Package>/app_ded/QvzU05zlB53sfB8Nn5JfDcwj1eUKG7cQ.dex
  • rm -r/data/user/0/<Package>/app_ded/RqIqwCjUPTCWloLvvQrKJTxMe6wsxIy4.dex
  • rm -r/data/user/0/<Package>/app_ded/T5ADu3QHXFw3S0NrC30oX8YLUeGLT7c2.dex
  • rm -r/data/user/0/<Package>/app_ded/WLkXwhu7X7XdMejG4g58UrlJ7G0DZoGi.dex
  • rm -r/data/user/0/<Package>/app_ded/bzwVYKmNhVrm9YsrDkqfyvQ7pfkwtokb.dex
  • rm -r/data/user/0/<Package>/app_ded/hmtAWUHW1GTiuNhNy0tJIaaapAcpM5Yi.dex
  • rm -r/data/user/0/<Package>/app_ded/i7szg6CbNP9WJ66DmJD4Yp4Mmzo8R6cO.dex
  • rm -r/data/user/0/<Package>/app_ded/ldjCpXZYQqqblJtO67C9z7awatMJtdsN.dex
  • rm -r/data/user/0/<Package>/app_ded/lgvXRhavRZMTgGm1j1lCC5G6MsC7NMta.dex
  • rm -r/data/user/0/<Package>/app_ded/phLGurLEbmGstBDZhM7DUz78llPZD8pc.dex
  • rm -r/data/user/0/<Package>/app_ded/qN0UZqM26cJufKAtE9PLxyZmmpjyWpR5.dex
  • rm -r/data/user/0/<Package>/app_ded/qlUsz0XQOomoCyPVHgbMg7WvSuDVrXzB.dex
  • rm -r/data/user/0/<Package>/app_ded/rDJZrR2GJD5H1wfEjXPGCeL4AOBhQWai.dex
  • rm -r/data/user/0/<Package>/app_ded/rgg4dX9jUESFVO2X0uiHLwzpGgH3af1A.dex
  • rm -r/data/user/0/<Package>/app_ded/ryOf4xFBF7ktV2t0aPsybEqxeAEb11Yu.dex
  • rm -r/data/user/0/<Package>/app_ded/vrXbWFeuKaekw5bNY1UySYQnlt0VTZCZ.dex
  • rm -r/data/user/0/<Package>/app_ded/w1wPwaMyAQ5zm9sGC24xvv75oAx0SUzr.dex
Использует следующие алгоритмы для расшифровки данных:
  • AES-ECB-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке