Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Android.Backdoor.196.origin

Added to the Dr.Web virus database: 2015-11-19

Virus description added:

SHA1:

45e17cab5ea9d1c2865526d7ee8a692f70eb7456

A malicious program targeting Android devices. It is distributed in originally harmless games and applications modified by cybercriminals. The Trojan is a modification of Android.Backdoor.176.origin.

Once launched for the first time, Android.Backdoor.196.origin gathers information about the infected device and sends it to the command and control server. Then it starts monitoring a number of system events—for example, booting of the OS (BOOT_COMPLETED), unlocking of the screen, and so on.

When the device it turned on for the first time after it got infected, Android.Backdoor.196.origin tries to get root privileges using a modified version of Root Master. Then via a root terminal, the Trojan sets the “immutable” attribute for its own APK file. As a result, even if the user uninstalls the Trojan, once the system is rebooted, the malicious program will be reinstalled, and the mobile device will stay infected.

After that, using DexClassLoader, Android.Backdoor.196.origin launches its second component, detected as Adware.Xinyin.1.origin. Depending on the modification of the Trojan, this second component is either downloaded from a remote server or extracted from the Trojan’s body and then decrypted.

Once Adware.Xinyin.1.origin takes over control, it becomes responsible for performing all malicious activities. In particular, it can download and install various programs, send text messages, monitor incoming and outgoing calls and messages, and display advertisements. Moreover, it periodically checks for its own updates.

To receive commands and send various data to cybercriminals, the Trojan and its malicious module use several command and control servers.

The following servers are used to send data to cybercriminals:

  • http://api.****.net;
  • http://rs.****.net;
  • http://rs.201****.com;
  • http://rs.*****.com;
  • http://rs.*****pk.com.

The following servers are used to receive text message parameters:

  • http://pay.fast*****.com;
  • http://base.fast*****.com.

The following servers are used to receive advertisement parameters:

  • http://msg.aol****.com;
  • http://msg.zol****.com.

Recommandations pour le traitement


Android

  1. Si votre appareil mobile fonctionne correctement, veuillez télécharger et installer sur votre appareil mobile le produit antivirus gratuit Dr.Web для Android Light. Lancez un scan complet et suivez les recommandations sur la neutralisation des menaces détectées.
  2. Si l'appareil mobile est bloqué par le Trojan de la famille Android.Locker (un message sur une violation grave de la loi ou une demande de rançon s’affichent sur l'écran de l'appareil mobile), procédez comme suit :
    • démarrez votre Smartphone ou votre tablette en mode sans échec (si vous ne savez pas comment faire, consultez la documentation de l'appareil mobile ou contactez le fabricant) ;
    • puis téléchargez et installez sur votre appareil contaminé le produit antivirus gratuit Dr.Web для Android Light et lancez un scan complet puis suivez les recommandations sur la neutralisation des menaces détectées ;
    • Débranchez votre appareil et rebranchez-le.

En savoir plus sur Dr.Web pour Android