Защити созданное

Другие наши ресурсы

  • free.drweb.kz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.kz — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Spy.1292.origin

Добавлен в вирусную базу Dr.Web: 2025-02-04

Описание добавлено:

SHA1 hash:

  • ce71efb93cf4d79bf431d8edfbae7b8b7b55fe44

Description

This trojan spyware for Android devices was detected in a version of the Alpine Quest cartographic program. This version had been modified by threat actors to include a spy that collects and sends them confidential user data, including location information and phonebook contacts.

Operating routine

When the program is first launched, Android.Spy.1292.origin requests permission to access the external storage and other necessary permissions; it also requests that the battery optimization function be disabled for the app.

After acquiring all the permissions it needs, Android.Spy.1292.origin logs user contact data and information about all the files in the external storage; the collected information is written into vocabularies in the spy’s working directory resp_dir.

Android.Spy.1292.origin uses Parse SDK to collect and exchange data with its C&C server. The trojan creates a separate thread via the Serv class. In this thread, the connection to the server is initialized, using the following hardcoded parameters:

  • C&C server address (hxxps[:]//detect-infohelp[.]com/parse/);
  • App ID;
  • Client key.

Next, it updates the general user information and registers the device on the C&C server. The trojan calls the connectToBase method, which collects and sends the following data:

  • Current date;
  • User mobile phone number and user accounts;
  • App version.

The trojan then calls the sendDataToSrv method to send files to the C&C server. It crawls the directory resp_dir and sends the server the objects available to it with the collected data:

  • The log containing data about the files;
  • The log containing data about the phonebook’s contacts.

After that, Android.Spy.1292.origin calls the requestTask method to check whether additional malicious modules are available for download from the C&C server. If the server confirms that modules are available, the trojan downloads them and dynamically executes them via DexClassLoader. While analysing the trojan, we discovered, among other things, modules for stealing attacker-specified user files—particularly, confidential documents.

Next, the trojan uses the pingTele method to duplicate information about the user in the Telegram bot hxxps[:]//api[.]telegram[.]org/bot****95****:****hij-*****_Z5*****HijN4y*****/. The following data is sent to it:

  • Current date;
  • User mobile phone number and user accounts;
  • App version.

Android.Spy.1292.origin also monitors the geolocation of an infected device and any changes in its location via GPS and mobile networks, sending the corresponding information to the C&C server and the Telegram bot. Location logging is performed every time the app is launched and via the onLocationChanged method, which is called when the location changes.

Moreover, the noteLocation method is implemented in the trojan. The spy uses it to record all the locations to a separate file. If this file’s size exceeds 100 megabytes, it is deleted and replaced with a new one.

Indicators of compromise

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке