Методы обнаружения вирусов

19 июня 2017 года

Специалисты корпорации «Доктор Веб» заприметили Android-троянца, коим вирусописатели управляют с применением протокола Telegram. данная вредная программа ворует секретную информацию так будто изготавливает команды злоумышленников.

Троянец, получивший имя Android.Spy.377.origin, воображает собой утилиту удаленного администрирования (Remote Administation Tool, либо RAT), которая распространяется под обликом безвредных приложений так будто штурмует иранских пользователей. Она умножать монтироваться на смартфоны так будто планшеты сколько программа с именованием « » («Insta Plus»), « » («Profile Checker») так будто «Cleaner Pro».

screenshot Android.Spy.377.origin #drweb

При запуске троянец приглашает обладателю мобильного устройства проверить, а как же тот известен между остальных юзеров Telegram, для чего просит показать индивидуальный идентификатор. позднее такого сколько жертва внедряет всякую информацию в соответственную форму, Android.Spy.377.origin демонстрирует «количество посетителей» ее профиля. впрочем в реальности никакой испытания троянец перестать делать выполняет. Он токмо лишь генерирует случайное число, которое так будто выдает за достоверный результат. данная опция призвана сдернуть подозрение с вредной программы так будто создать воспоминание того, будто она перестать делать воображает опасности. спустя кое-какое эпоха позднее пуска Android.Spy.377.origin удаляет домашний значок из перечня приложений в меню ключевого экрана устройства так будто закрывает свое окно, пробуя утаить наличествие в системе.

screenshot Android.Spy.377.origin #drweb

Android.Spy.377.origin – традиционная программа-шпион, могущая удаленно исполнять команды злоумышленников. ключевое различие этого вредного приложения от остальных Android-троянцев заключается в том, будто для его управления киберпреступники применяют протокол обмена сообщениями онлайн-мессенджера Telegram. Это первейший ведомый вирусным аналитикам «Доктор Веб» троянец для ОС Android, в котором сбыта подобная функция.

После удаления значка программы Android.Spy.377.origin копирует контакты из телефонной книги, входящие так будто исходящие СМС-сообщения, а уж уж уж а уж уж еще познания об учетной записи гугл хозяина мобильного устройства. правнуки он предохраняет эти заданные в текстовые файлы в своем рабочем каталоге. кроме того, троянец изготавливает снимок при поддержке передней камеры, дабы запечатлеть личико пользователя. дальше резидент загружает сотворенную фотографию так будто файлы с украденной информацией на управляющий сервер так будто посылает Telegram-боту киберпреступников знак об успешном инфецировании устройства.

Ниже показаны примеры файлов, кои Android.Spy.377.origin передает злоумышленникам.

screenshot Android.Spy.377.origin #drweb

После кражи секретной инфы Android.Spy.377.origin сызнова подключается к боту так будто ждет от него сообщений, в коих будут содержаться управляющие команды. Троянец умножать зашибать надлежащие директивы:

  • call – исполнить телефонный звонок;
  • sendmsg – отослать СМС;
  • getapps – передать на сервер информацию об поставленных приложениях;
  • getfiles – передать на сервер информацию обо любых доступных на устройстве файлах;
  • getloc – отослать на сервер информацию о местоположении устройства;
  • upload – нагрузить на сервер указанный в команде файл, какой-нибудь хранится на устройстве;
  • removeA – услать с устройства указанный в команде файл;
  • removeB – услать группу файлов;
  • lstmsg – передать на сервер файл с информацией обо любых отправленных так будто приобретенных СМС, охватывая гостиница отправителей так будто получателей, а уж уж уж а уж уж еще содержимое сообщений.

При исполнении всякой команды вредная программа сообщает об конкретно в этом Telegram-бота вирусописателей.

Помимо сбора секретных заданных по команде киберпреступников Android.Spy.377.origin автономно выслеживает баста входящие так будто исходящие СМС, а уж уж уж а уж уж еще координаты устройства. При поступлении либо отправке новеньких извещений так будто изменении местоположения зараженного смартфона либо планшета троянец передает данную информацию Telegram-боту злоумышленников.

Специалисты корпорации «Доктор Веб» предупреждают, будто вирусописатели сильно зачастую распространяют вредные приложения под обликом безвредных программ. Для обороны от Android-троянцев должно ставить ПО токмо от популярных разработчиков так будто загружать его из достоверных источников, подобных сколько каталог гугл Play. баста распространенные версии троянца Android.Spy.377.origin детектируются антивирусными продуктами Dr.Web для Android, почему для наших юзеров данный резидент угрозе перестать делать представляет.

Подробнее о троянце

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web