Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Backdoor.176.origin

Добавлен в вирусную базу Dr.Web: 2015-11-18

Описание добавлено:

SHA:

  • 03108c3c726250d6f3cb11489374632e29cf021a
  • 4036ce5bcb2d40da984f09e188af037b2c174ada (одна из версий, способных получать root-доступ)

Троянская программа, работающая на мобильных устройствах под управлением ОС Android. Распространяется в модифицированных злоумышленниками изначально безобидных приложениях. Ее основное назначение – незаметная установка и удаление программ.

После инсталляции на целевой смартфон или планшет Android.Backdoor.176.origin начинает отслеживать следующие системные события:

  • BOOT_COMPLETED – окончание загрузки устройства;
  • USER_PRESENT – разблокировка экрана пользователем;
  • CONNECTIVITY_CHANGE – изменение состояния доступа в сеть.

При наступлении этих событий происходит активизация троянца.

При первом запуске вредоносное приложение через POST-запрос отправляет на управляющий сервер подробную информацию о зараженном устройстве, включая:

  • IMEI-идентификатор;
  • IMSI-идентификатор;
  • данные о состоянии внутренней и внешней памяти;
  • геолокационные координаты;
  • характеристики экрана;
  • название модели;

а также другие сведения. Обмен данными с сервером осуществляется в формате JSON (JavaScript Object Notation).

Далее Android.Backdoor.176.origin запускает скрытый в его ресурсах вредоносный модуль, который подключается к нему при помощи интерфейса межпрограммного взаимодействия (Binder IPC). Этот модуль содержит основной вредоносный функционал троянца, заключающийся в установке и удалении приложений по команде управляющего сервера. Кроме того, данный компонент отслеживает количество входящих и исходящих вызовов, а также принятых и отправленных СМС-сообщений.

Некоторые версии Android.Backdoor.176.origin способны получать root-доступ на заражаемых мобильных устройствах. Для этого они загружают из Интернета и незаметно запускают модифицированную вирусописателями утилиту Root Master. В результате в системный каталог /system/xbin атакованного смартфона или планшета копируются троянские файлы .rt_bridge (Android.Rootkit.1) и .rt_daemon (Android.Rootkit.2), представляющие собой аналог утилиты su. После запуска .rt_bridge проверяет процесс, которым он был активизирован, и, если он соответствует процессу из списка разрешенных, запускает root-терминал.

Затем Android.Backdoor.176.origin скачивает из Интернета утилиту chattr и с ее помощью через запущенный ранее терминал устанавливает на собственный apk-файл атрибут immutable, защищая себя от удаления. В дальнейшем, даже после того как пользователь удалит троянца, при следующей перезагрузке операционной системы вредоносная программа вновь окажется на устройстве.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке