Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Android.CoinMine.16

Added to the Dr.Web virus database: 2018-02-07

Virus description added:

SHA1: 6720ae9e5ffac171b4c5106891dcb255a9f7fdc8

The component of the Android.CoinMine.15 worm designed to mine the Monero (XMR) cryptocurrency on an infected Android device. The Trojan is implemented as an sss file, which is saved in the /data/local/tmp/ folder along with the nohup and bot.dat files.

The sss component is launched using the nohup utility as a daemon and goes into standby mode for 10 seconds. It then copies the bot.dat file to the /sdcard/ folder under the name tmpsub. After that, it decrypts a 7-z archive with additional components. The archive is saved to /sdcard/tmpde. The unpacked content is saved to the /data/local/tmp/ folder. After that, the /sdcard/tmpsub and /sdcard/tmpde files are deleted. The unpacked files are listed below:

config.json
ddexe
debuggerd
droidbot
droidbot.apk
install-recovery.sh
invoke.sh
nohup
xmrig32
xmrig64

0755 (rwxr-xr-x) access privileges are installed for all the files. In case the sss running process does not have root privileges, but the “/system/bin/su” or “/system/xbin/su” utilities are located on the computer, the Trojan launches droidbot using su. Otherwise it launches droidbot as it is:

if ( getuid() && (exists("/system/bin/su") || exists("/system/xbin/su")) )
{
  system("su -c /data/local/tmp/nohup /data/local/tmp/droidbot");
  system("/data/local/tmp/nohup /data/local/tmp/droidbot");
}
else
{
  system("/data/local/tmp/nohup /data/local/tmp/droidbot");
}

News about the Trojan

Recommandations pour le traitement


Android

  1. Si votre appareil mobile fonctionne correctement, veuillez télécharger et installer sur votre appareil mobile le produit antivirus gratuit Dr.Web для Android Light. Lancez un scan complet et suivez les recommandations sur la neutralisation des menaces détectées.
  2. Si l'appareil mobile est bloqué par le Trojan de la famille Android.Locker (un message sur une violation grave de la loi ou une demande de rançon s’affichent sur l'écran de l'appareil mobile), procédez comme suit :
    • démarrez votre Smartphone ou votre tablette en mode sans échec (si vous ne savez pas comment faire, consultez la documentation de l'appareil mobile ou contactez le fabricant) ;
    • puis téléchargez et installez sur votre appareil contaminé le produit antivirus gratuit Dr.Web для Android Light et lancez un scan complet puis suivez les recommandations sur la neutralisation des menaces détectées ;
    • Débranchez votre appareil et rebranchez-le.

En savoir plus sur Dr.Web pour Android