Защити созданное

Другие наши ресурсы

  • free.drweb.kz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.kz — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.BankBot.Coper.2.origin

Добавлен в вирусную базу Dr.Web: 2021-07-04

Описание добавлено:

SHA1:

  • d689039c533ad29dfe7dc16b94a8966d79181ea7

Description

A trojan application for the Android operating system, which is a component of the Android.BankBot.Coper.1 banking trojan. It represents an executable dex file, whose main purpose is to obtain a number of system privileges and install another trojan module that performs the main malicious actions.

Operating routine

When launched by the Android.BankBot.Coper.1 dropper, the Android.BankBot.Coper.2.origin module gains access to Accessibility Services, disables the Google Play Protect protection mechanism built into the Android operating system and allows application installation from unknown sources. Next, it automatically installs a trojan apk package (Android.BankBot.Coper.2) that contains the main malicious component. It then grants it access to Accessibility Services. With that, it tries to protect this component and itself from being uninstalled. To do so, Android.BankBot.Coper.2.origin tracks the following events:

  • openings of the Google Play Protect page in the Play Market app
  • user attempts to change the device administrators list
  • user access to the trojan’s information page of the system list of installed apps
  • user attempts to change the trojan’s rights to access the Accessibility Services functions

If any of these events are detected, the trojan returns the victim to the home screen, simulating the user pressing the home button. And if the trojan detects an attempt to delete it or the main component, the trojan simulates the user pressing the back button. If the primary malicious component is ultimately deleted, the trojan will reinstall it.

Indicators of compromise

More details on Android.BankBot.Coper.1

More details on Android.BankBot.Coper.2

News about the trojan

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке