Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Xiny.60

Добавлен в вирусную базу Dr.Web: 2016-05-14

Описание добавлено:

SHA1:

  • f714f6332d55fbc883f5eca4c475c0467c469612
  • c39ccad90d6b49b3a5ced28dad3100f19a469df2

Троянская программа, работающая на мобильных устройствах под управлением ОС Android. Предназначена для незаметной загрузки и запуска вредоносных приложений в инфицированной системе.

Android.Xiny.60 устанавливается в системный каталог Android-смартфонов и планшетов другими троянцами семейства Android.Xiny после получения ими root-полномочий и при условии, что в системе уже установлен аналог утилиты su, который размещен по одному из следующих путей:

  • /system/xbin/.pe;
  • /system/xbin/.ls;
  • /system/bin/.adin;
  • /system/bin/.alpha.

После запуска Android.Xiny.60 извлекает из своих файловых ресурсов вспомогательные вредоносные модули и копирует их в системные каталоги:

  • /system/xbin/igpi;
  • /system/lib/igpld.so;
  • /system/lib/igpfix.so;
  • /system/framework/igpi.jar.

Затем троянец запускает модуль igpi (Android.Xiny.61), который при помощи функции ptrace внедряет в процессы системных приложений Google Play (com.android.vending) и Сервисы Google Play (com.google.android.gms, co.google.android.gms.persistent) исполняемую Linux-библиотеку igpld.so (Android.Xiny.62). Троянец может также внедрять эту библиотеку в системный процесс zygote, однако в текущей версии вредоносного приложения эта функция не используется.

После загрузки модуль igpld.so проверяет, в какой процесс он внедрился. Если это системный процесс zygote, Android.Xiny.62 начинает отслеживать запуск новых приложений. Если троянец обнаруживает вновь запущенную программу, он встраивает в ее процесс вредоносную библиотеку igpi.jar (Android.Xiny.60), которая используется для загрузки и запуска скачиваемых из Интернета дополнительных троянских плагинов.

После запуска igpi.jar начинает отслеживать состояние зараженного мобильного устройства и контролирует следующие системные события:

  • android.intent.action.BATTERY_CHANGED (изменение оставшегося объема заряда аккумулятора);
  • android.intent.action.SCREEN_ON – включение экрана;
  • android.intent.action.SCREEN_OFF – отключение экрана;
  • android.intent.action.ACTION_POWER_CONNECTED – подключение зарядного устройства;
  • android.intent.action.ACTION_POWER_DISCONNECTED – отключение зарядного устройства;
  • android.net.conn.CONNECTIVITY_CHANGE – изменение состояния сетевого подключения.

При наступлении одного из указанных событий троянец соединяется с управляющим сервером, который расположен по адресу http://g.om***.com/igp/api, и отправляет на него следующие сведения о зараженном устройстве:

  • IMEI-идентификатор;
  • IMSI-идентификатор;
  • MAC-адрес сетевого адаптера;
  • версию ОС;
  • название модели мобильного устройства;
  • язык системы;
  • имя программного пакета, внутри процесса которого работает троянец.

В ответ Android.Xiny.60 может загрузить и запустить вредоносные плагины, которые после скачивания будут работать как часть того или иного атакованного приложения, однако в настоящее время распространение таких плагинов пока не было зафиксировано.

Новость о троянце

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке