Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Titan.1

Добавлен в вирусную базу Dr.Web: 2015-03-17

Описание добавлено:

Троянская программа, заражающая мобильные Android-устройства. Предназначена для незаметной отправки СМС-сообщений и совершения телефонных звонков, а также сбора различной конфиденциальной информации. Отличается от большинства Android- троянцев тем, что весь ее вредоносный функционал сосредоточен в специальной Unix-библиотеке, в то время как dex-файл Android.Titan.1 используется в качестве вспомогательного компонента. После установки на целевом устройстве Android.Titan.1 создает на главном экране операционной системы ярлык и ожидает своего запуска пользователем.

screen

После того как владелец зараженного Android-устройства запустит троянца, созданный им ранее ярлык удаляется. Также троянцем удаляется последний СМС-диалог, сохраненный в памяти устройства, и запускается вредоносный сервис com/Titanium/Synchronous/praesunt. Последующие запуски Android.Titan.1 выполняются автоматически при каждом включении операционной системы.

Успешно активированный сервис com/Titanium/Synchronous/praesunt запускает сервис com/Titanium/Synchronous/adipiscing, который, в свою очередь, может выполнять следующие функции:

  • «MAINSTART»
  • «MSGUPLOAD»
  • «SCRUPLOAD»
  • «VOCUPLOAD»

Функция «MAINSTART»

Циклично выполняет запуск сервиса com/Titanium/Synchronous/praesunt, поддерживая тем самым постоянную работу троянца. Кроме того, данная функция проверяет, какое приложение является менеджером СМС-сообщений по умолчанию, и, если это не Android.Titan.1, пытается назначить его таковым при помощи стандартной системной функции android.provider.Telephony.ACTION_CHANGE_DEFAULT.

Также данная функция отправляет на управляющий сервер следующую информацию о зараженном мобильном устройстве:

  • версия операционной системы;
  • номер телефона пользователя;
  • данные о сетевом подключении;
  • MAC-адрес;
  • IMEI-идентификатор;
  • IMSI-идентификатор.

В ответ сервер может прислать следующие команды:

  • запустить сервис com/Titanium/Synchronous/desine, задачей которого является поиск и завершение работы всех процессов, относящихся к приложению com.kakao.talk;
  • запустить сервис com/Titanium/Synchronous/factum, выполняющий подмену телефонных номеров в книге контактов;
  • изменить параметры вызовов устройства (беззвучный, вибровызов или обычный), а также задать уровень громкости сигнала вызова;
  • запустить сервис com/Titanium/Synchronous/factum в режиме, в котором выполняется отправка СМС-сообщения на заданный номер;
  • запустить сервис сервис com/Titanium/Synchronous/factum в режиме, в котором осуществляется телефонный звонок на заданный номер (во время звонка экран устройства переводится в неактивное состояние, аналогичное режиму ожидания);
  • отправить на сервер информацию о сохраненных в телефонной книге контактах (загружаются имена и соответствующие им номера телефонов);
  • запустить сервис com/Titanium/Magister/posursum, выполняющий демонстрацию в панели уведомлений заданного текста и сопровождающего его изображения.

Функция «MSGUPLOAD»

Предназначена для сбора информации обо всех входящих СМС-сообщениях (отправитель, дата и время отправки) и загрузки полученных сведений на управляющий сервер. В случае если соединение с сервером установить невозможно, информация сохраняется в локальную базу данных и отправляется позднее.

Функция «SCRUPLOAD»

Отслеживает состояние экрана устройства (активен или находится в режиме ожидания) и отправляет эти данные на сервер.

Функция «VOCUPLOAD»

Предназначена для сбора информации о совершаемых пользователем звонках и отправки этих данных на сервер.

Сервис com.Titanium.Accipite.pipeline

Активируется в следующих случаях:

  • при поступлении очередного СМС; выполняет проверку входящих сообщений и сокрытие от пользователя части из них в соответствии с настройками троянца. При этом информация обо всех пришедших СМС передается на управляющий сервер через функцию «MSGUPLOAD»;
  • при загрузке операционной системы; активирует основной сервис троянца через вызов функции «MAINSTART»;
  • троянцем каждую минуту отслеживается состояние мобильного устройства и выполняется проверка, не совершает ли пользователь телефонный звонок. Если это так, звонок записывается в amr-файл и помещается в рабочий каталог Android.Titan.1, после чего через вызов сервиса com/Titanium/Synchronous/adipiscing с параметром «VOCUPLOAD» передается на сервер. Аналогичным образом отслеживается и состояние экрана, после чего полученная информация передается на сервер через вызов функции «SCRUPLOAD».

Троянец способен блокировать определенные звонки, а также автоматически отвечать на них. При этом соответствующая информация о телефонных разговорах удаляется из системных журналов.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке