Library
My library

+ Add to library

Contact us
24/7 Tech support | Rules regarding submitting

Send a message

Your tickets

Profile

Android.BankBot.8274

Added to the Dr.Web virus database: 2021-03-04

Virus description added:

Technical information

Malicious functions:
Executes code of the following detected threats:
  • Android.BankBot.780.origin
Removes app icon from the screen.
Threat detection based on machine learning.
Network activity:
Connects to:
  • UDP(DNS) 8####.8.4.4:53
  • TCP(HTTP/1.1) xjnwqdo####.ru:80
  • TCP(HTTP/1.1) nfiuerw####.com:80
  • TCP(TLS/1.0) www.google####.com:443
  • TCP(TLS/1.0) android####.go####.com:443
  • TCP(TLS/1.0) p####.google####.com:443
  • TCP(TLS/1.2) 64.2####.163.95:443
  • TCP(TLS/1.2) 2####.58.208.99:443
  • TCP(TLS/1.2) 1####.177.119.100:443
DNS requests:
  • abaqyvb####.cn
  • abaqyvb####.cn.8.####.8
  • aecbtwd####.ru
  • aecbtwd####.ru.8.####.8
  • afhckrf####.com
  • afhckrf####.com.8.####.8
  • aghwisp####.ru
  • aghwisp####.ru.8.####.8
  • agqgeaw####.com
  • agqgeaw####.com.8.####.8
  • ahmfplu####.com
  • ahmfplu####.com.8.####.8
  • aigecvy####.ru
  • aigecvy####.ru.8.####.8
  • and####.google####.com
  • android####.go####.com
  • aoeaqxi####.cn
  • aoeaqxi####.cn.8.####.8
  • aogedvh####.ru
  • aogedvh####.ru.8.####.8
  • apdjmmf####.com
  • apdjmmf####.com.8.####.8
  • arjuoml####.cn
  • arjuoml####.cn.8.####.8
  • arymabk####.com
  • arymabk####.com.8.####.8
  • asipveg####.com
  • asipveg####.com.8.####.8
  • asumiid####.ru
  • asumiid####.ru.8.####.8
  • atauslf####.ru
  • atauslf####.ru.8.####.8
  • aukfjdv####.ru
  • aukfjdv####.ru.8.####.8
  • axokiob####.cn
  • axokiob####.cn.8.####.8
  • ayitihn####.com
  • ayitihn####.com.8.####.8
  • aypfcrv####.cn
  • aypfcrv####.cn.8.####.8
  • bdoefri####.ru
  • bdoefri####.ru.8.####.8
  • bflrowx####.cn
  • bflrowx####.cn.8.####.8
  • bfsggeb####.com
  • bfsggeb####.com.8.####.8
  • bfwqwsf####.com
  • bfwqwsf####.com.8.####.8
  • bihyokm####.com
  • bihyokm####.com.8.####.8
  • bincolv####.ru
  • bincolv####.ru.8.####.8
  • blaganf####.ru
  • blaganf####.ru.8.####.8
  • bmqydrq####.ru
  • bmqydrq####.ru.8.####.8
  • bruanbf####.cn
  • bruanbf####.cn.8.####.8
  • bumopyf####.cn
  • bumopyf####.cn.8.####.8
  • bvpoguf####.ru
  • bvpoguf####.ru.8.####.8
  • caxdcce####.ru
  • caxdcce####.ru.8.####.8
  • ccwphds####.ru
  • ccwphds####.ru.8.####.8
  • cgbcpyk####.ru
  • cgbcpyk####.ru.8.####.8
  • chjlnay####.com
  • chjlnay####.com.8.####.8
  • cixarnj####.com
  • cixarnj####.com.8.####.8
  • cnatxhl####.cn
  • cnatxhl####.cn.8.####.8
  • corxcbf####.ru
  • corxcbf####.ru.8.####.8
  • csilhjx####.com
  • csilhjx####.com.8.####.8
  • cvswfif####.ru
  • cvswfif####.ru.8.####.8
  • daojeqc####.cn
  • daojeqc####.cn.8.####.8
  • dckhbor####.com
  • dckhbor####.com.8.####.8
  • dembqog####.ru
  • dembqog####.ru.8.####.8
  • dfnbqub####.cn
  • dfnbqub####.cn.8.####.8
  • dhuilib####.ru
  • dhuilib####.ru.8.####.8
  • dqffrir####.ru
  • dqffrir####.ru.8.####.8
  • dsjllaa####.cn
  • dsjllaa####.cn.8.####.8
  • dsjufcf####.cn
  • dsjufcf####.cn.8.####.8
  • dwsetps####.com
  • dwsetps####.com.8.####.8
  • dwvylwb####.ru
  • dwvylwb####.ru.8.####.8
  • eboyewt####.ru
  • eboyewt####.ru.8.####.8
  • ecnlegq####.com
  • ecnlegq####.com.8.####.8
  • ehjhihx####.cn
  • ehjhihx####.cn.8.####.8
  • eiobbli####.com
  • eiobbli####.com.8.####.8
  • eivfole####.cn
  • eivfole####.cn.8.####.8
  • ejlocvq####.ru
  • ejlocvq####.ru.8.####.8
  • ekvepuy####.com
  • ekvepuy####.com.8.####.8
  • elfeyiu####.com
  • elfeyiu####.com.8.####.8
  • esyiyph####.com
  • esyiyph####.com.8.####.8
  • fblmdkh####.cn
  • fblmdkh####.cn.8.####.8
  • fddibaa####.cn
  • fddibaa####.cn.8.####.8
  • feojshp####.cn
  • feojshp####.cn.8.####.8
  • ffqjqgo####.ru
  • ffqjqgo####.ru.8.####.8
  • fjqleph####.ru
  • fjqleph####.ru.8.####.8
  • flkgcxi####.cn
  • flkgcxi####.cn.8.####.8
  • fsfehkv####.ru
  • fsfehkv####.ru.8.####.8
  • fsyuxix####.com
  • fsyuxix####.com.8.####.8
  • ftsatgi####.cn
  • ftsatgi####.cn.8.####.8
  • fwiskpo####.com
  • fwiskpo####.com.8.####.8
  • gbmsxoa####.ru
  • gbmsxoa####.ru.8.####.8
  • gbntqrv####.cn
  • gbntqrv####.cn.8.####.8
  • gdxrsuw####.ru
  • gdxrsuw####.ru.8.####.8
  • gebtygc####.cn
  • gebtygc####.cn.8.####.8
  • gfnkhxb####.com
  • gfnkhxb####.com.8.####.8
  • gsghxih####.ru
  • gsghxih####.ru.8.####.8
  • gtlaqag####.ru
  • gtlaqag####.ru.8.####.8
  • gtmfuwi####.com
  • gtmfuwi####.com.8.####.8
  • gvnkntf####.com
  • gvnkntf####.com.8.####.8
  • gykgaib####.com
  • gykgaib####.com.8.####.8
  • hbcaqhh####.com
  • hbcaqhh####.com.8.####.8
  • hfgxmlg####.com
  • hfgxmlg####.com.8.####.8
  • himugrn####.ru
  • himugrn####.ru.8.####.8
  • hpwluww####.cn
  • hpwluww####.cn.8.####.8
  • hqtpcei####.cn
  • hqtpcei####.cn.8.####.8
  • htnweok####.ru
  • htnweok####.ru.8.####.8
  • hublkib####.com
  • hublkib####.com.8.####.8
  • hxntfaq####.cn
  • hxntfaq####.cn.8.####.8
  • ijgqgpq####.cn
  • ijgqgpq####.cn.8.####.8
  • ilynavf####.cn
  • ilynavf####.cn.8.####.8
  • instant####.google####.com
  • ipiravj####.cn
  • ipiravj####.cn.8.####.8
  • iqqnemj####.ru
  • iqqnemj####.ru.8.####.8
  • irgmrhj####.ru
  • irgmrhj####.ru.8.####.8
  • ithhrwr####.cn
  • ithhrwr####.cn.8.####.8
  • iuwunpj####.com
  • iuwunpj####.com.8.####.8
  • ivmikin####.com
  • ivmikin####.com.8.####.8
  • ivsidew####.com
  • ivsidew####.com.8.####.8
  • ixexifc####.ru
  • ixexifc####.ru.8.####.8
  • ixkqsxa####.ru
  • ixkqsxa####.ru.8.####.8
  • ixshbrj####.cn
  • ixshbrj####.cn.8.####.8
  • iyglxto####.com
  • iyglxto####.com.8.####.8
  • jagwvpm####.cn
  • jagwvpm####.cn.8.####.8
  • jdxndgb####.ru
  • jdxndgb####.ru.8.####.8
  • jiuyniw####.ru
  • jiuyniw####.ru.8.####.8
  • jlpgfly####.ru
  • jlpgfly####.ru.8.####.8
  • jnlwuxd####.ru
  • jnlwuxd####.ru.8.####.8
  • jnopevu####.com
  • jnopevu####.com.8.####.8
  • joslxkl####.cn
  • joslxkl####.cn.8.####.8
  • joxcxsb####.cn
  • joxcxsb####.cn.8.####.8
  • joysqeg####.com
  • joysqeg####.com.8.####.8
  • jpbqlxi####.ru
  • jpbqlxi####.ru.8.####.8
  • jpfxpuo####.com
  • jpfxpuo####.com.8.####.8
  • jrjarka####.ru
  • jrjarka####.ru.8.####.8
  • jrrxtdt####.ru
  • jrrxtdt####.ru.8.####.8
  • jsyqatk####.ru
  • jsyqatk####.ru.8.####.8
  • jvwiyfm####.com
  • jvwiyfm####.com.8.####.8
  • kijugsg####.cn
  • kijugsg####.cn.8.####.8
  • kmlcxjf####.com
  • kmlcxjf####.com.8.####.8
  • kmpxqod####.ru
  • kmpxqod####.ru.8.####.8
  • kmudiqt####.cn
  • kmudiqt####.cn.8.####.8
  • knbrlup####.ru
  • knbrlup####.ru.8.####.8
  • kohsiju####.ru
  • kohsiju####.ru.8.####.8
  • kqtvwsc####.ru
  • kqtvwsc####.ru.8.####.8
  • kuoycxq####.cn
  • kuoycxq####.cn.8.####.8
  • larrowl####.cn
  • larrowl####.cn.8.####.8
  • laxhpte####.cn
  • laxhpte####.cn.8.####.8
  • laxixnn####.com
  • laxixnn####.com.8.####.8
  • lbdvdft####.cn
  • lbdvdft####.cn.8.####.8
  • lbocvav####.com
  • lbocvav####.com.8.####.8
  • lboyoqt####.cn
  • lboyoqt####.cn.8.####.8
  • lcbqyug####.ru
  • lcbqyug####.ru.8.####.8
  • lhkbriy####.com
  • lhkbriy####.com.8.####.8
  • lpkptkc####.com
  • lpkptkc####.com.8.####.8
  • lqibdko####.com
  • lqibdko####.com.8.####.8
  • lsjxlvy####.com
  • lsjxlvy####.com.8.####.8
  • ltyijgd####.cn
  • ltyijgd####.cn.8.####.8
  • luwardw####.cn
  • luwardw####.cn.8.####.8
  • lykbsbe####.cn
  • lykbsbe####.cn.8.####.8
  • m####.go####.com
  • mayijtb####.ru
  • mayijtb####.ru.8.####.8
  • mcgobao####.com
  • mcgobao####.com.8.####.8
  • mcwaoar####.ru
  • mcwaoar####.ru.8.####.8
  • md####.google####.com
  • mkomjxf####.com
  • mkomjxf####.com.8.####.8
  • mkvrbah####.cn
  • mkvrbah####.cn.8.####.8
  • mlvaqyo####.ru
  • mlvaqyo####.ru.8.####.8
  • mmgxkay####.ru
  • mmgxkay####.ru.8.####.8
  • mokfrwl####.ru
  • mokfrwl####.ru.8.####.8
  • mtlrklk####.ru
  • mtlrklk####.ru.8.####.8
  • mtoncrd####.cn
  • mtoncrd####.cn.8.####.8
  • mxngnge####.ru
  • mxngnge####.ru.8.####.8
  • mxpmajn####.com
  • mxpmajn####.com.8.####.8
  • mydfofl####.com
  • mydfofl####.com.8.####.8
  • nbamoxl####.com
  • nbamoxl####.com.8.####.8
  • nboggoy####.cn
  • nboggoy####.cn.8.####.8
  • ncycbog####.ru
  • ncycbog####.ru.8.####.8
  • ndltcgv####.cn
  • ndltcgv####.cn.8.####.8
  • ndtruqg####.com
  • ndtruqg####.com.8.####.8
  • nemijae####.com
  • nemijae####.com.8.####.8
  • nfiuerw####.com
  • nfkxfpd####.cn
  • nfkxfpd####.cn.8.####.8
  • nflrjsa####.ru
  • nflrjsa####.ru.8.####.8
  • nfvvgdy####.ru
  • nfvvgdy####.ru.8.####.8
  • ngxvjsv####.cn
  • ngxvjsv####.cn.8.####.8
  • niubnya####.com
  • niubnya####.com.8.####.8
  • nlxpbtv####.com
  • nlxpbtv####.com.8.####.8
  • nmqephn####.com
  • nmqephn####.com.8.####.8
  • nnpopej####.ru
  • nnpopej####.ru.8.####.8
  • nohnylo####.cn
  • nohnylo####.cn.8.####.8
  • npphkmj####.ru
  • npphkmj####.ru.8.####.8
  • nslpfmu####.cn
  • nslpfmu####.cn.8.####.8
  • nujctwx####.com
  • nujctwx####.com.8.####.8
  • obmuujc####.cn
  • obmuujc####.cn.8.####.8
  • obqhavw####.cn
  • obqhavw####.cn.8.####.8
  • obtibxf####.cn
  • obtibxf####.cn.8.####.8
  • ocvkvbv####.cn
  • ocvkvbv####.cn.8.####.8
  • odxjjpm####.ru
  • odxjjpm####.ru.8.####.8
  • ofoudkj####.cn
  • ofoudkj####.cn.8.####.8
  • ofyefcq####.com
  • ofyefcq####.com.8.####.8
  • onivbeu####.ru
  • onivbeu####.ru.8.####.8
  • onvjrto####.com
  • onvjrto####.com.8.####.8
  • oqmfpac####.cn
  • oqmfpac####.cn.8.####.8
  • orsvgfa####.com
  • orsvgfa####.com.8.####.8
  • osagiuc####.ru
  • osagiuc####.ru.8.####.8
  • osgajkw####.cn
  • osgajkw####.cn.8.####.8
  • ouhfhin####.ru
  • ouhfhin####.ru.8.####.8
  • oxlvsde####.com
  • oxlvsde####.com.8.####.8
  • oycwtds####.cn
  • oycwtds####.cn.8.####.8
  • oyxxxdl####.ru
  • oyxxxdl####.ru.8.####.8
  • p####.google####.com
  • peohskm####.com
  • peohskm####.com.8.####.8
  • pfjliww####.ru
  • pfjliww####.ru.8.####.8
  • pfqtlyd####.cn
  • pfqtlyd####.cn.8.####.8
  • pkjpfee####.com
  • pkjpfee####.com.8.####.8
  • pkreptl####.com
  • pkreptl####.com.8.####.8
  • pluskvx####.com
  • pluskvx####.com.8.####.8
  • pmrjliq####.cn
  • pmrjliq####.cn.8.####.8
  • pxjirta####.cn
  • pxjirta####.cn.8.####.8
  • qammkma####.cn
  • qammkma####.cn.8.####.8
  • qbaeuxj####.cn
  • qbaeuxj####.cn.8.####.8
  • qbigvca####.ru
  • qbigvca####.ru.8.####.8
  • qcqfhqa####.cn
  • qcqfhqa####.cn.8.####.8
  • qeuxebq####.cn
  • qeuxebq####.cn.8.####.8
  • qggvsms####.ru
  • qggvsms####.ru.8.####.8
  • qgswjxm####.ru
  • qgswjxm####.ru.8.####.8
  • qhjxqbr####.com
  • qhjxqbr####.com.8.####.8
  • qjtefel####.ru
  • qjtefel####.ru.8.####.8
  • qkrbhmb####.com
  • qkrbhmb####.com.8.####.8
  • qponudg####.cn
  • qponudg####.cn.8.####.8
  • qpuagvg####.com
  • qpuagvg####.com.8.####.8
  • qsgobch####.cn
  • qsgobch####.cn.8.####.8
  • quwxisd####.cn
  • quwxisd####.cn.8.####.8
  • qvkhxvq####.com
  • qvkhxvq####.com.8.####.8
  • qvyjvly####.cn
  • qvyjvly####.cn.8.####.8
  • qwnuclj####.ru
  • qwnuclj####.ru.8.####.8
  • rabswro####.com
  • rabswro####.com.8.####.8
  • rashmif####.cn
  • rashmif####.cn.8.####.8
  • rbaqixu####.cn
  • rbaqixu####.cn.8.####.8
  • rbfbxgj####.ru
  • rbfbxgj####.ru.8.####.8
  • rbkhswt####.com
  • rbkhswt####.com.8.####.8
  • redojjv####.com
  • redojjv####.com.8.####.8
  • rfcdwoc####.ru
  • rfcdwoc####.ru.8.####.8
  • rfnbwrs####.ru
  • rfnbwrs####.ru.8.####.8
  • rgsjgiu####.cn
  • rgsjgiu####.cn.8.####.8
  • rhpcimq####.com
  • rhpcimq####.com.8.####.8
  • riiqxan####.com
  • riiqxan####.com.8.####.8
  • riodbij####.ru
  • riodbij####.ru.8.####.8
  • rlkgnak####.cn
  • rlkgnak####.cn.8.####.8
  • rmjqcpg####.com
  • rmjqcpg####.com.8.####.8
  • rnsptuk####.ru
  • rnsptuk####.ru.8.####.8
  • rpkiphl####.com
  • rpkiphl####.com.8.####.8
  • rqefjyx####.cn
  • rqefjyx####.cn.8.####.8
  • rsejbmg####.com
  • rsejbmg####.com.8.####.8
  • saaapxp####.com
  • saaapxp####.com.8.####.8
  • sarmaer####.com
  • sarmaer####.com.8.####.8
  • scktdkx####.com
  • scktdkx####.com.8.####.8
  • siweqgp####.com
  • siweqgp####.com.8.####.8
  • smferkh####.ru
  • smferkh####.ru.8.####.8
  • smvcpog####.cn
  • smvcpog####.cn.8.####.8
  • snaljcq####.com
  • snaljcq####.com.8.####.8
  • snrpjeo####.com
  • snrpjeo####.com.8.####.8
  • sntcbjb####.cn
  • sntcbjb####.cn.8.####.8
  • spomjuk####.ru
  • spomjuk####.ru.8.####.8
  • sqsmmxu####.cn
  • sqsmmxu####.cn.8.####.8
  • ssfgybv####.cn
  • ssfgybv####.cn.8.####.8
  • swadcgm####.ru
  • swadcgm####.ru.8.####.8
  • sxofaxd####.cn
  • sxofaxd####.cn.8.####.8
  • tchgeed####.ru
  • tchgeed####.ru.8.####.8
  • tfgwuik####.cn
  • tfgwuik####.cn.8.####.8
  • tgdenxh####.ru
  • tgdenxh####.ru.8.####.8
  • tiphssn####.ru
  • tiphssn####.ru.8.####.8
  • tnauwcu####.cn
  • tnauwcu####.cn.8.####.8
  • tnfbkkb####.com
  • tnfbkkb####.com.8.####.8
  • trmcrqt####.cn
  • trmcrqt####.cn.8.####.8
  • trygpdm####.com
  • trygpdm####.com.8.####.8
  • tswwgnd####.cn
  • tswwgnd####.cn.8.####.8
  • tuxiyup####.cn
  • tuxiyup####.cn.8.####.8
  • tvjjkjr####.cn
  • tvjjkjr####.cn.8.####.8
  • twjwfly####.ru
  • twjwfly####.ru.8.####.8
  • txrnbrh####.cn
  • txrnbrh####.cn.8.####.8
  • txyoqfq####.cn
  • txyoqfq####.cn.8.####.8
  • ubtuwgd####.cn
  • ubtuwgd####.cn.8.####.8
  • ucuafvg####.ru
  • ucuafvg####.ru.8.####.8
  • udtuxtn####.ru
  • udtuxtn####.ru.8.####.8
  • uepwbum####.com
  • uepwbum####.com.8.####.8
  • uevpskc####.com
  • uevpskc####.com.8.####.8
  • ufxwgiv####.ru
  • ufxwgiv####.ru.8.####.8
  • ugbfwxg####.ru
  • ugbfwxg####.ru.8.####.8
  • uhjyhke####.com
  • uhjyhke####.com.8.####.8
  • uhlkknb####.com
  • uhlkknb####.com.8.####.8
  • uhrnfwb####.cn
  • uhrnfwb####.cn.8.####.8
  • ujinhta####.com
  • ujinhta####.com.8.####.8
  • umhrqkb####.cn
  • umhrqkb####.cn.8.####.8
  • upsuyge####.cn
  • upsuyge####.cn.8.####.8
  • utvossj####.com
  • utvossj####.com.8.####.8
  • uuyhmnv####.ru
  • uuyhmnv####.ru.8.####.8
  • uwyqtpa####.ru
  • uwyqtpa####.ru.8.####.8
  • uxyopvq####.com
  • uxyopvq####.com.8.####.8
  • uytwscw####.ru
  • uytwscw####.ru.8.####.8
  • vabtxdg####.ru
  • vabtxdg####.ru.8.####.8
  • vcigbip####.com
  • vcigbip####.com.8.####.8
  • vdkpqap####.com
  • vdkpqap####.com.8.####.8
  • vdoxivy####.com
  • vdoxivy####.com.8.####.8
  • vgsrjfk####.cn
  • vgsrjfk####.cn.8.####.8
  • vhcedlf####.ru
  • vhcedlf####.ru.8.####.8
  • vhymcal####.com
  • vhymcal####.com.8.####.8
  • vihdyjk####.com
  • vihdyjk####.com.8.####.8
  • vmjxqie####.ru
  • vmjxqie####.ru.8.####.8
  • voobusu####.cn
  • voobusu####.cn.8.####.8
  • vownakn####.cn
  • vownakn####.cn.8.####.8
  • voxyppx####.cn
  • voxyppx####.cn.8.####.8
  • vpgpqwq####.cn
  • vpgpqwq####.cn.8.####.8
  • vphvafb####.ru
  • vphvafb####.ru.8.####.8
  • vqdannr####.ru
  • vqdannr####.ru.8.####.8
  • vuamxpd####.cn
  • vuamxpd####.cn.8.####.8
  • vvxitnw####.com
  • vvxitnw####.com.8.####.8
  • vxcibou####.ru
  • vxcibou####.ru.8.####.8
  • waiujiv####.com
  • waiujiv####.com.8.####.8
  • wccojfy####.cn
  • wccojfy####.cn.8.####.8
  • wenkgef####.com
  • wenkgef####.com.8.####.8
  • wgbpxuv####.com
  • wgbpxuv####.com.8.####.8
  • whsegdw####.com
  • whsegdw####.com.8.####.8
  • wmbpcpj####.cn
  • wmbpcpj####.cn.8.####.8
  • wrmumpk####.ru
  • wrmumpk####.ru.8.####.8
  • wrrgopm####.ru
  • wrrgopm####.ru.8.####.8
  • wthmpyp####.com
  • wthmpyp####.com.8.####.8
  • www.google####.com
  • wxbgmyf####.com
  • wxbgmyf####.com.8.####.8
  • wyduhxe####.cn
  • wyduhxe####.cn.8.####.8
  • xasaeob####.ru
  • xasaeob####.ru.8.####.8
  • xdmdnlu####.com
  • xdmdnlu####.com.8.####.8
  • xeepuvg####.cn
  • xeepuvg####.cn.8.####.8
  • xicgerx####.com
  • xicgerx####.com.8.####.8
  • xiogruj####.com
  • xiogruj####.com.8.####.8
  • xjnwqdo####.ru
  • xlstjpw####.cn
  • xlstjpw####.cn.8.####.8
  • xpvgjyt####.ru
  • xpvgjyt####.ru.8.####.8
  • xsjowjm####.com
  • xsjowjm####.com.8.####.8
  • xunhudm####.ru
  • xunhudm####.ru.8.####.8
  • xvotqqb####.cn
  • xvotqqb####.cn.8.####.8
  • xwavrsw####.ru
  • xwavrsw####.ru.8.####.8
  • xxpqltk####.ru
  • xxpqltk####.ru.8.####.8
  • xxpsgal####.ru
  • xxpsgal####.ru.8.####.8
  • ybkgxoo####.com
  • ybkgxoo####.com.8.####.8
  • yctimaf####.cn
  • yctimaf####.cn.8.####.8
  • ydvuksy####.ru
  • ydvuksy####.ru.8.####.8
  • yhxolur####.cn
  • yhxolur####.cn.8.####.8
  • yjqefga####.com
  • yjqefga####.com.8.####.8
  • ykodakn####.com
  • ykodakn####.com.8.####.8
  • ykpnihs####.cn
  • ykpnihs####.cn.8.####.8
  • ymtlpcb####.ru
  • ymtlpcb####.ru.8.####.8
  • yocbdfu####.cn
  • yocbdfu####.cn.8.####.8
  • ypqwnsi####.cn
  • ypqwnsi####.cn.8.####.8
  • yrlvjxo####.ru
  • yrlvjxo####.ru.8.####.8
  • yvynhfc####.cn
  • yvynhfc####.cn.8.####.8
  • ywnmfyl####.ru
  • ywnmfyl####.ru.8.####.8
HTTP POST requests:
  • nfiuerw####.com/poll.php
  • xjnwqdo####.ru/poll.php
File system changes:
Creates the following files:
  • /data/data/####/FedEx.xml
  • /data/data/####/classes-v1.bin
  • /data/data/####/classes-v1.dex
  • /data/data/####/classes-v1.dex.flock (deleted)
  • /data/misc/####/primary.prof
Miscellaneous:
Executes the following shell scripts:
  • /system/bin/dex2oat --runtime-arg -classpath --runtime-arg & --instruction-set=x86_64 --instruction-set-features=smp,ssse3,sse4.1,sse4.2,-avx,-avx2,-lock_add,popcnt --runtime-arg -Xrelocate --boot-image=/system/framework/boot.art --runtime-arg -Xms64m --runtime-arg -Xmx512m --instruction-set-variant=x86_64 --instruction-set-features=default --dex-file=/data/user/0/<Package>/app_apkprotector_dex/classes-v1.bin --oat-fd=33 --oat-location=/data/user/0/<Package>/app_apkprotector_dex/classes-v1.dex --compiler-filter=speed
Uses the following algorithms to encrypt data:
  • RSA-ECB-PKCS1Padding
Gets information about network.
Gets information about installed apps.
Displays its own windows over windows of other apps.
Gets information about sent/received SMS.
Intercepts notifications.

Curing recommendations


Android

  1. If the mobile device is operating normally, download and install Dr.Web for Android Light. Run a full system scan and follow recommendations to neutralize the detected threats.
  2. If the mobile device has been locked by Android.Locker ransomware (the message on the screen tells you that you have broken some law or demands a set ransom amount; or you will see some other announcement that prevents you from using the handheld normally), do the following:
    • Load your smartphone or tablet in the safe mode (depending on the operating system version and specifications of the particular mobile device involved, this procedure can be performed in various ways; seek clarification from the user guide that was shipped with the device, or contact its manufacturer);
    • Once you have activated safe mode, install the Dr.Web для Android Light onto the infected handheld and run a full scan of the system; follow the steps recommended for neutralizing the threats that have been detected;
    • Switch off your device and turn it on as normal.

Find out more about Dr.Web for Android