Android.Packed.18189

Technical information

Malicious functions:

Executes code of the following detected threats:

Android.DownLoader.320.origin

Network activity:

Connecting to:

c####.####.com
i####.####.cn
p####.com
a####.####.com

HTTP GET requests:

i####.####.cn/iplookup/iplookup.php?format=####
c####.####.com/html/mfgxxsydq.html
c####.####.com/dex/container_165.dex
p####.com/adv/tuichu.html
c####.####.com/html/mfgxxsydq2.html

HTTP POST requests:

a####.####.com/container/global_config?cid=####&udid=####&cv=####

Modified file system:

Creates the following files:

/data/data/####/.cache/classes.dex
/data/data/####/.cache/libsecexe.x86.so
/data/data/####/.cache/####
/data/data/####/.sec_version
/data/data/####/shared_prefs/####_preferences.xml
/data/data/####/app_data/container.pre_global_config
/data/data/####/databases/webview.db-journal
/data/data/####/.cache/####.art
/data/data/####/.md5
/data/data/####/app_data/container.pre_need_update_plugins
/data/data/####/.cache/libsecmain.x86.so
/data/data/####/app_bangcleplugin/container.apk
/data/data/####/.cache/classes.jar
/data/data/####/.cache/libsecpreload.x86.so
/data/data/####/shared_prefs/device_id.xml.xml

Sets the 'executable' attribute to the following files:

/data/data/####/.cache/####

Miscellaneous:

Executes next shell scripts:

getprop ro.product.cpu.abi
chmod 755 /data/data/####/.cache/####
chmod 755 /data/data/####/.cache/####.art

Uses special library to hide executable bytecode.

Contains functionality to send SMS messages automatically.

Рекомендации по лечению

Android

Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android