Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Android.Becu.1.origin

Added to the Dr.Web virus database: 2015-03-18

Virus description added:

Ce logiciel malveillant peut être intégré au firmware de certains appareils mobiles sous Android. Il représente une menace multi composants, capable de télécharger, installer et supprimer des logiciels, ainsi que de bloquer les SMS entrants. Le Trojan se trouve dans le répertoire système /system/app/ dans le fichier Cube_CJIA01.apk (package com.cube.activity). Il possède une signature numérique, ce qui lui permet d'avoir les privilèges illimités sur l’appareil et de fonctionner sans interagir avec l'utilisateur.

L'activité malveillante d'Android.Becu.1.origin est liée démarre avec les événements système suivants :

  • Réception d'un SMS (Android.provider.Telephony.SMS_RECEIVED);
  • démarrage de l'appareil mobile (Android.intent.action.BOOT_COMPLETED).

Le Trojan décrypte son fichier de configuration (crypté par AES), qui contient un lien pour télécharger l'un des composants du logiciel malveillant, puis génère la clé et télécharge un bloc de données cryptées à l'aide d’AES.

Lorg/json/JSONObject;->getString(Ljava/lang/String;=a_ps)Ljava/lang/String;=
=android.permission.RECEIVE_SMS
Lorg/json/JSONObject;->getString(Ljava/lang/String;=a_a)Ljava/lang/String;=
=android.provider.Telephony.SMS_RECEIVED
Lorg/json/JSONObject;->getString(Ljava/lang/String;=u_ac)Ljava/lang/String;=
=http://[xxxxxxx]qs.mobi/cube/ubcore?token=%s
Lorg/json/JSONObject;->getString(Ljava/lang/String;=u_acf)Ljava/lang/String;=uac.apk
Lorg/json/JSONObject;->getString(Ljava/lang/String;=u_ad)Ljava/lang/String;=
=http://[xxxxxxx]qs.mobi/cube/adgroup?token=%s
Lorg/json/JSONObject;->getString(Ljava/lang/String;=u_adf)Ljava/lang/String;=uad.apk

Les données reçues sont déchiffrées et sauvegardées dans un fichier sous le nom uac.apk dans le répertoire du Trojan (data/data/com.cube.activity/files/). Ce package Android représente un des composants auxiliaires d' Android.Becu.1.origin, , qui est lancé dans la mémoire vive à l'aide du DexClassLoader. Le Trojan lance également le second composant uac.dex, situé dans le même répertoire en format odex.

Les modules uad.apk et uac.dex (détectés comme Android.Becu.2.origin) permettent au Android.Becu.1.origin de télécharger, installer et supprimer des applications sur commande du serveur de gestion.

Après le lancement de ces composants, Android.Becu.1.origin vérifie la présence de l'application com.zgs.ga.pack (détectée comme Android.Becu.3.origin), son troisième composant. S’il n’est pas présent, le malware le télécharge et l’installe sur l'appareil.

Android.Becu.1.origin peut bloquer les SMS entrants des numéros inclus dans sa black liste.

Recommandations pour le traitement


Android

  1. Si votre appareil mobile fonctionne correctement, veuillez télécharger et installer sur votre appareil mobile le produit antivirus gratuit Dr.Web для Android Light. Lancez un scan complet et suivez les recommandations sur la neutralisation des menaces détectées.
  2. Si l'appareil mobile est bloqué par le Trojan de la famille Android.Locker (un message sur une violation grave de la loi ou une demande de rançon s’affichent sur l'écran de l'appareil mobile), procédez comme suit :
    • démarrez votre Smartphone ou votre tablette en mode sans échec (si vous ne savez pas comment faire, consultez la documentation de l'appareil mobile ou contactez le fabricant) ;
    • puis téléchargez et installez sur votre appareil contaminé le produit antivirus gratuit Dr.Web для Android Light et lancez un scan complet puis suivez les recommandations sur la neutralisation des menaces détectées ;
    • Débranchez votre appareil et rebranchez-le.

En savoir plus sur Dr.Web pour Android