Защити созданное

Другие наши ресурсы

  • free.drweb.kz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.kz — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.SmsBot.459.origin

Добавлен в вирусную базу Dr.Web: 2015-09-19

Описание добавлено:

SHA1: 9a8f33c8f7ef02d2551331023bc90f8990645d5d
c56da810fc0bd6ce61313afdba492942715c2720

Троянская программа, работающая на мобильных устройствах под управлением ОС Android. Может распространяться при помощи СМС-спама и устанавливаться в систему под видом безобидных приложений, например, программы-клиента для доступа к популярной онлайн-площадке по размещению объявлений, ПО для работы с MMS-сообщениями и т. п. Представляет собой бота, способного выполнять команды злоумышленников и предназначенного для кражи денег пользователей.

#drweb #drweb

Сразу после запуска пытается получить доступ к функциям администратора мобильного устройства, для чего постоянно демонстрирует соответствующий запрос, фактически блокируя работу с зараженным смартфоном или планшетом:

#drweb

После получения необходимых полномочий удаляет значок с главного экрана.

Некоторые модификации троянца после запуска не требуют доступ к функциям администратора устройства и лишь активируют работу вредоносного системного сервиса, после чего также удаляют свой значок.

Android.SmsBot.459.origin через POST-запрос передает на управляющий сервер следующую информацию:

  • IMEI-идентификатор;
  • название модели устройства;
  • текущий язык операционной системы;
  • IMSI-идентификатор;
  • номер мобильного телефона;
  • название мобильного оператора;
  • версию операционной системы;
  • установлено ли приложение Viber;
  • текущую версию троянца;
  • уникальный идентификатор троянца, сгенерированный для конкретного зараженного устройства.

В ответ на отправленную информацию троянец получает команду на проверку наличия привязки к абонентскому номеру пользователя услуги мобильного банкинга от нескольких кредитных организаций, в частности, Сбербанка России и Альфа-Банка, а также на проверку баланса соответствующих банковских счетов жертвы. Кроме этого, троянец проверяет баланс QIWI-кошелька, а также мобильного счета пользователя.

Для управления троянцем злоумышленниками предусмотрены следующие команды:

  • esms&&& - отправить на сервер список всех СМС-сообщений;
  • getapps&&& - отправить на сервер список установленных приложений;
  • sent&&& - отправить СМС-сообщение c заданным текстом на указанный номер;
  • rent&&& - включить перехват СМС-сообщений;
  • sms_stop&&& - остановить перехват СМС-сообщений;
  • ussd&&& - выполнить USSD-запрос;
  • export&&& - отправить на сервер список контактов;
  • u&&& - задать адрес нового управляющего сервера;
  • sapp&&& - отправить сообщение на указанный номер в приложении Viber.

Выполнение каждой из этих команд сопровождается отчетом, отправляемым на сервер через POST-запрос:

{"command":"sent&&&","timestamp":"934629","id":"5f2b6fec-2e27-4a72-90f7-6fea6d6d1a81",
"type":"result","status":"ok"}

Все перехватываемые троянцем СМС-сообщения скрываются от пользователя и также передаются на сервер в виде POST-запроса:

{"data":"2015:09:18_14:05:20","id":"5f2b6fec-2e27-4a72-90f7-6fea6d6d1a81",
"text":"Балансы: 0 руб.","number":"QIWI WALLET","type":"load"}

Для того чтобы скрыть от жертвы входящие СМС, вначале Android.SmsBot.459.origin использует следующую функцию:

this.abortBroadcast();

После этого он отключает все звуковые уведомления устройства, в том числе вибровызов:

this.getSystemService("audio").setRingerMode(0);

Затем троянец удаляет полученное сообщение из памяти мобильного устройства:

this.a.getContentResolver().delete(Uri.parse(String.valueOf(v9) + v6_1), null, null);

после чего ожидает 3 секунды и вновь включает звуковые оповещения:

v0 = 3000;
Thread.sleep(v0);
this.a.getSystemService("audio").setRingerMode(2);

Новость о троянце

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке