Library
My library

+ Add to library

Contact us
24/7 Tech support | Rules regarding submitting

Send a message

Your tickets

Profile

Android.BankBot.8307

Added to the Dr.Web virus database: 2021-03-05

Virus description added:

Technical information

Malicious functions:
Executes code of the following detected threats:
  • Android.BankBot.780.origin
Removes app icon from the screen.
Threat detection based on machine learning.
Network activity:
Connects to:
  • UDP(DNS) 8####.8.4.4:53
  • TCP(HTTP/1.1) xjnwqdo####.ru:80
  • TCP(TLS/1.0) 1####.194.73.95:443
  • TCP(TLS/1.0) android####.go####.com:443
  • TCP(TLS/1.0) instant####.google####.com:443
  • TCP(TLS/1.0) p####.google####.com:443
  • TCP(TLS/1.0) and####.google####.com:443
  • TCP(TLS/1.2) 64.2####.163.138:443
  • TCP(TLS/1.2) 1####.194.73.95:443
  • TCP(TLS/1.2) 64.2####.162.94:443
DNS requests:
  • abivljt####.cn
  • abivljt####.cn.8.####.8
  • abkuqsg####.cn
  • abkuqsg####.cn.8.####.8
  • ackddoc####.ru
  • ackddoc####.ru.8.####.8
  • aeqponr####.com
  • aeqponr####.com.8.####.8
  • agoidho####.com
  • agoidho####.com.8.####.8
  • agqgeaw####.com
  • agqgeaw####.com.8.####.8
  • ajtphuh####.com
  • ajtphuh####.com.8.####.8
  • amvoekn####.ru
  • amvoekn####.ru.8.####.8
  • and####.google####.com
  • android####.go####.com
  • aranfpa####.ru
  • aranfpa####.ru.8.####.8
  • asumiid####.ru
  • asumiid####.ru.8.####.8
  • athmmow####.cn
  • athmmow####.cn.8.####.8
  • beaolwv####.cn
  • beaolwv####.cn.8.####.8
  • bgcngjv####.ru
  • bgcngjv####.ru.8.####.8
  • bgmqabq####.cn
  • bgmqabq####.cn.8.####.8
  • bhsuhgp####.com
  • bhsuhgp####.com.8.####.8
  • bjtedat####.com
  • bjtedat####.com.8.####.8
  • blmhueo####.ru
  • blmhueo####.ru.8.####.8
  • bodxhdx####.cn
  • bodxhdx####.cn.8.####.8
  • bpuukds####.ru
  • bpuukds####.ru.8.####.8
  • brdbhph####.cn
  • brdbhph####.cn.8.####.8
  • buatigd####.cn
  • buatigd####.cn.8.####.8
  • bvdpisn####.cn
  • bvdpisn####.cn.8.####.8
  • byqxjoq####.ru
  • byqxjoq####.ru.8.####.8
  • cclfqmu####.ru
  • cclfqmu####.ru.8.####.8
  • ceueauo####.com
  • ceueauo####.com.8.####.8
  • cfbeegb####.com
  • cfbeegb####.com.8.####.8
  • cffdhji####.cn
  • cffdhji####.cn.8.####.8
  • cfydnes####.com
  • cfydnes####.com.8.####.8
  • cgbxvyi####.cn
  • cgbxvyi####.cn.8.####.8
  • cnacpef####.com
  • cnacpef####.com.8.####.8
  • corxcbf####.ru
  • corxcbf####.ru.8.####.8
  • cryfmgi####.ru
  • cryfmgi####.ru.8.####.8
  • csilhjx####.com
  • csilhjx####.com.8.####.8
  • ctackwq####.ru
  • ctackwq####.ru.8.####.8
  • cuqgcka####.ru
  • cuqgcka####.ru.8.####.8
  • cviuvbh####.ru
  • cviuvbh####.ru.8.####.8
  • cwmklce####.com
  • cwmklce####.com.8.####.8
  • cwtlvft####.com
  • cwtlvft####.com.8.####.8
  • cxaxtow####.ru
  • cxaxtow####.ru.8.####.8
  • ddwuicy####.cn
  • ddwuicy####.cn.8.####.8
  • deykcls####.cn
  • deykcls####.cn.8.####.8
  • dfipojc####.ru
  • dfipojc####.ru.8.####.8
  • dfmwtul####.ru
  • dfmwtul####.ru.8.####.8
  • dmkpheo####.ru
  • dmkpheo####.ru.8.####.8
  • dohdnmh####.com
  • dohdnmh####.com.8.####.8
  • dphrelh####.cn
  • dphrelh####.cn.8.####.8
  • drkrqnm####.cn
  • drkrqnm####.cn.8.####.8
  • drlwsps####.cn
  • drlwsps####.cn.8.####.8
  • dsqunoi####.cn
  • dsqunoi####.cn.8.####.8
  • dxkxrdm####.ru
  • dxkxrdm####.ru.8.####.8
  • dyuplcc####.cn
  • dyuplcc####.cn.8.####.8
  • ebhprkl####.ru
  • ebhprkl####.ru.8.####.8
  • edpnyyf####.cn
  • edpnyyf####.cn.8.####.8
  • ejjujfq####.com
  • ejjujfq####.com.8.####.8
  • ekvepuy####.com
  • ekvepuy####.com.8.####.8
  • elconsv####.com
  • elconsv####.com.8.####.8
  • elnldor####.cn
  • elnldor####.cn.8.####.8
  • endvwys####.com
  • endvwys####.com.8.####.8
  • enotjml####.com
  • enotjml####.com.8.####.8
  • euwqoog####.ru
  • euwqoog####.ru.8.####.8
  • evodbij####.com
  • evodbij####.com.8.####.8
  • evpjdir####.ru
  • evpjdir####.ru.8.####.8
  • fcfvbhi####.ru
  • fcfvbhi####.ru.8.####.8
  • fddibaa####.cn
  • fddibaa####.cn.8.####.8
  • ffqjqgo####.ru
  • ffqjqgo####.ru.8.####.8
  • fhciaix####.com
  • fhciaix####.com.8.####.8
  • fjbbiec####.ru
  • fjbbiec####.ru.8.####.8
  • fliihan####.cn
  • fliihan####.cn.8.####.8
  • flqvnrj####.com
  • flqvnrj####.com.8.####.8
  • fpboftd####.ru
  • fpboftd####.ru.8.####.8
  • fxbmnfg####.ru
  • fxbmnfg####.ru.8.####.8
  • fxdkpqn####.cn
  • fxdkpqn####.cn.8.####.8
  • fyaqtug####.cn
  • fyaqtug####.cn.8.####.8
  • gawcwxn####.com
  • gawcwxn####.com.8.####.8
  • gbrjwuc####.com
  • gbrjwuc####.com.8.####.8
  • gdilojg####.cn
  • gdilojg####.cn.8.####.8
  • gibgtyg####.cn
  • gibgtyg####.cn.8.####.8
  • gilwcyf####.cn
  • gilwcyf####.cn.8.####.8
  • goosuuw####.com
  • goosuuw####.com.8.####.8
  • gpoojxj####.ru
  • gpoojxj####.ru.8.####.8
  • gtmfuwi####.com
  • gtmfuwi####.com.8.####.8
  • gubtdcf####.cn
  • gubtdcf####.cn.8.####.8
  • gyegoct####.ru
  • gyegoct####.ru.8.####.8
  • gykgaib####.com
  • gykgaib####.com.8.####.8
  • gytbfrb####.cn
  • gytbfrb####.cn.8.####.8
  • hcilwmp####.cn
  • hcilwmp####.cn.8.####.8
  • hhsxmbb####.cn
  • hhsxmbb####.cn.8.####.8
  • hlhygqv####.cn
  • hlhygqv####.cn.8.####.8
  • horemwg####.ru
  • horemwg####.ru.8.####.8
  • howyfpl####.ru
  • howyfpl####.ru.8.####.8
  • hsmxiqv####.com
  • hsmxiqv####.com.8.####.8
  • hwixiea####.cn
  • hwixiea####.cn.8.####.8
  • hwpypcq####.ru
  • hwpypcq####.ru.8.####.8
  • hxntuce####.ru
  • hxntuce####.ru.8.####.8
  • hyuhggo####.com
  • hyuhggo####.com.8.####.8
  • iidusek####.ru
  • iidusek####.ru.8.####.8
  • imcspxj####.ru
  • imcspxj####.ru.8.####.8
  • instant####.google####.com
  • ipbmedq####.com
  • ipbmedq####.com.8.####.8
  • irsqnrt####.com
  • irsqnrt####.com.8.####.8
  • itoacqy####.ru
  • itoacqy####.ru.8.####.8
  • ivkpniw####.cn
  • ivkpniw####.cn.8.####.8
  • jbysuxg####.ru
  • jbysuxg####.ru.8.####.8
  • jdbhuqk####.ru
  • jdbhuqk####.ru.8.####.8
  • jddfrwf####.cn
  • jddfrwf####.cn.8.####.8
  • jfptmqi####.ru
  • jfptmqi####.ru.8.####.8
  • jjbvaoj####.cn
  • jjbvaoj####.cn.8.####.8
  • jleoagj####.cn
  • jleoagj####.cn.8.####.8
  • jlijecf####.cn
  • jlijecf####.cn.8.####.8
  • joxmonw####.ru
  • joxmonw####.ru.8.####.8
  • jpbqlxi####.ru
  • jpbqlxi####.ru.8.####.8
  • jpfxpuo####.com
  • jpfxpuo####.com.8.####.8
  • jppvtok####.com
  • jppvtok####.com.8.####.8
  • jpyrsud####.cn
  • jpyrsud####.cn.8.####.8
  • jrvvglr####.com
  • jrvvglr####.com.8.####.8
  • jsyqatk####.ru
  • jsyqatk####.ru.8.####.8
  • jtlbwew####.com
  • jtlbwew####.com.8.####.8
  • jvieovg####.com
  • jvieovg####.com.8.####.8
  • kdstpdb####.ru
  • kdstpdb####.ru.8.####.8
  • kggmnug####.ru
  • kggmnug####.ru.8.####.8
  • kianuwm####.ru
  • kianuwm####.ru.8.####.8
  • kjhydpj####.cn
  • kjhydpj####.cn.8.####.8
  • kjktgow####.com
  • kjktgow####.com.8.####.8
  • kkoudpf####.cn
  • kkoudpf####.cn.8.####.8
  • klfuwqd####.ru
  • klfuwqd####.ru.8.####.8
  • klsxojt####.cn
  • klsxojt####.cn.8.####.8
  • knbrlup####.ru
  • knbrlup####.ru.8.####.8
  • krnlwxd####.com
  • krnlwxd####.com.8.####.8
  • kyrmfgf####.com
  • kyrmfgf####.com.8.####.8
  • ldddykc####.com
  • ldddykc####.com.8.####.8
  • lesxgnr####.cn
  • lesxgnr####.cn.8.####.8
  • ljfkbii####.cn
  • ljfkbii####.cn.8.####.8
  • llhldli####.cn
  • llhldli####.cn.8.####.8
  • ltqdmuq####.ru
  • ltqdmuq####.ru.8.####.8
  • ltyijgd####.cn
  • ltyijgd####.cn.8.####.8
  • luvvbet####.com
  • luvvbet####.com.8.####.8
  • lwfhvjm####.com
  • lwfhvjm####.com.8.####.8
  • lyjipqg####.ru
  • lyjipqg####.ru.8.####.8
  • m####.go####.com
  • md####.google####.com
  • mfiwvrn####.com
  • mfiwvrn####.com.8.####.8
  • mfksmyh####.com
  • mfksmyh####.com.8.####.8
  • mgrxuod####.cn
  • mgrxuod####.cn.8.####.8
  • mijwllg####.ru
  • mijwllg####.ru.8.####.8
  • mkvrbah####.cn
  • mkvrbah####.cn.8.####.8
  • mseimpm####.cn
  • mseimpm####.cn.8.####.8
  • mxfcoic####.com
  • mxfcoic####.com.8.####.8
  • mxwbjhh####.cn
  • mxwbjhh####.cn.8.####.8
  • mydfofl####.com
  • mydfofl####.com.8.####.8
  • nbamoxl####.com
  • nbamoxl####.com.8.####.8
  • nbjjetc####.ru
  • nbjjetc####.ru.8.####.8
  • nboggoy####.cn
  • nboggoy####.cn.8.####.8
  • ncycbog####.ru
  • ncycbog####.ru.8.####.8
  • nemijae####.com
  • nemijae####.com.8.####.8
  • ngsuhwk####.cn
  • ngsuhwk####.cn.8.####.8
  • nipivfi####.com
  • nipivfi####.com.8.####.8
  • nkbxfal####.ru
  • nkbxfal####.ru.8.####.8
  • nnnodnc####.com
  • nnnodnc####.com.8.####.8
  • npytmyo####.com
  • npytmyo####.com.8.####.8
  • npyurxe####.com
  • npyurxe####.com.8.####.8
  • nqyoaql####.ru
  • nqyoaql####.ru.8.####.8
  • nrryptc####.ru
  • nrryptc####.ru.8.####.8
  • nuikpgb####.ru
  • nuikpgb####.ru.8.####.8
  • nwiaadc####.com
  • nwiaadc####.com.8.####.8
  • nwuatyb####.ru
  • nwuatyb####.ru.8.####.8
  • nywneqk####.ru
  • nywneqk####.ru.8.####.8
  • oavbveu####.cn
  • oavbveu####.cn.8.####.8
  • odcevlq####.cn
  • odcevlq####.cn.8.####.8
  • oiitvay####.cn
  • oiitvay####.cn.8.####.8
  • okqkomm####.cn
  • okqkomm####.cn.8.####.8
  • oqequdj####.cn
  • oqequdj####.cn.8.####.8
  • ottrghu####.com
  • ottrghu####.com.8.####.8
  • ouoyumu####.cn
  • ouoyumu####.cn.8.####.8
  • p####.google####.com
  • pafnuhf####.com
  • pafnuhf####.com.8.####.8
  • pcaoutg####.cn
  • pcaoutg####.cn.8.####.8
  • pdewbhk####.com
  • pdewbhk####.com.8.####.8
  • pdveppj####.cn
  • pdveppj####.cn.8.####.8
  • pemevqn####.ru
  • pemevqn####.ru.8.####.8
  • pglexgt####.cn
  • pglexgt####.cn.8.####.8
  • phjwalf####.ru
  • phjwalf####.ru.8.####.8
  • pmaynpn####.com
  • pmaynpn####.com.8.####.8
  • pmqrdbi####.cn
  • pmqrdbi####.cn.8.####.8
  • qbigvca####.ru
  • qbigvca####.ru.8.####.8
  • qevbeui####.cn
  • qevbeui####.cn.8.####.8
  • qfgojmv####.cn
  • qfgojmv####.cn.8.####.8
  • qfltyka####.com
  • qfltyka####.com.8.####.8
  • qgomqvs####.com
  • qgomqvs####.com.8.####.8
  • qgswjxm####.ru
  • qgswjxm####.ru.8.####.8
  • qhqjadk####.ru
  • qhqjadk####.ru.8.####.8
  • qpuagvg####.com
  • qpuagvg####.com.8.####.8
  • qtrowsu####.com
  • qtrowsu####.com.8.####.8
  • qtyogpe####.ru
  • qtyogpe####.ru.8.####.8
  • quxacea####.cn
  • quxacea####.cn.8.####.8
  • qxbppbf####.com
  • qxbppbf####.com.8.####.8
  • rashmif####.cn
  • rashmif####.cn.8.####.8
  • rbkhswt####.com
  • rbkhswt####.com.8.####.8
  • rhpcimq####.com
  • rhpcimq####.com.8.####.8
  • rqjhcrp####.ru
  • rqjhcrp####.ru.8.####.8
  • rsejbmg####.com
  • rsejbmg####.com.8.####.8
  • ruutqus####.com
  • ruutqus####.com.8.####.8
  • ruvjvja####.ru
  • ruvjvja####.ru.8.####.8
  • rwahjqs####.com
  • rwahjqs####.com.8.####.8
  • skkquke####.cn
  • skkquke####.cn.8.####.8
  • skyabut####.ru
  • skyabut####.ru.8.####.8
  • sohsgdl####.cn
  • sohsgdl####.cn.8.####.8
  • sonrdty####.ru
  • sonrdty####.ru.8.####.8
  • spmbasv####.com
  • spmbasv####.com.8.####.8
  • srrimwj####.com
  • srrimwj####.com.8.####.8
  • stnentv####.cn
  • stnentv####.cn.8.####.8
  • suaxtqr####.com
  • suaxtqr####.com.8.####.8
  • sufpuwj####.cn
  • sufpuwj####.cn.8.####.8
  • sulneti####.ru
  • sulneti####.ru.8.####.8
  • svtuhce####.com
  • svtuhce####.com.8.####.8
  • sxddoki####.com
  • sxddoki####.com.8.####.8
  • tcqjldt####.cn
  • tcqjldt####.cn.8.####.8
  • tdmxino####.ru
  • tdmxino####.ru.8.####.8
  • tfgwuik####.cn
  • tfgwuik####.cn.8.####.8
  • tfnefby####.cn
  • tfnefby####.cn.8.####.8
  • thsiiss####.com
  • thsiiss####.com.8.####.8
  • tjfhnhh####.ru
  • tjfhnhh####.ru.8.####.8
  • tlrhoby####.com
  • tlrhoby####.com.8.####.8
  • tmkkhxn####.ru
  • tmkkhxn####.ru.8.####.8
  • tpqyfuu####.com
  • tpqyfuu####.com.8.####.8
  • ttrhkev####.cn
  • ttrhkev####.cn.8.####.8
  • tvjjkjr####.cn
  • tvjjkjr####.cn.8.####.8
  • ucdeady####.ru
  • ucdeady####.ru.8.####.8
  • ucxmllj####.cn
  • ucxmllj####.cn.8.####.8
  • ufssgmj####.ru
  • ufssgmj####.ru.8.####.8
  • uftjrfk####.com
  • uftjrfk####.com.8.####.8
  • ugviufq####.com
  • ugviufq####.com.8.####.8
  • ugyeets####.ru
  • ugyeets####.ru.8.####.8
  • uiytimv####.com
  • uiytimv####.com.8.####.8
  • ujinhta####.com
  • ujinhta####.com.8.####.8
  • ukqwixk####.ru
  • ukqwixk####.ru.8.####.8
  • upsuyge####.cn
  • upsuyge####.cn.8.####.8
  • uqvmbmk####.ru
  • uqvmbmk####.ru.8.####.8
  • utlnqwo####.cn
  • utlnqwo####.cn.8.####.8
  • uupwfgo####.com
  • uupwfgo####.com.8.####.8
  • uuyhmnv####.ru
  • uuyhmnv####.ru.8.####.8
  • uvwpbie####.cn
  • uvwpbie####.cn.8.####.8
  • uwvgwdw####.com
  • uwvgwdw####.com.8.####.8
  • uwyqtpa####.ru
  • uwyqtpa####.ru.8.####.8
  • uxdhbiq####.ru
  • uxdhbiq####.ru.8.####.8
  • vdoxivy####.com
  • vdoxivy####.com.8.####.8
  • vmkjsug####.com
  • vmkjsug####.com.8.####.8
  • vownakn####.cn
  • vownakn####.cn.8.####.8
  • vqcwpte####.ru
  • vqcwpte####.ru.8.####.8
  • vqdannr####.ru
  • vqdannr####.ru.8.####.8
  • vrewqed####.ru
  • vrewqed####.ru.8.####.8
  • vvxitnw####.com
  • vvxitnw####.com.8.####.8
  • wabvmhq####.com
  • wabvmhq####.com.8.####.8
  • wbksngo####.com
  • wbksngo####.com.8.####.8
  • wdmwrad####.ru
  • wdmwrad####.ru.8.####.8
  • wfrssel####.com
  • wfrssel####.com.8.####.8
  • wimxghd####.com
  • wimxghd####.com.8.####.8
  • wljxfkf####.ru
  • wljxfkf####.ru.8.####.8
  • wocqeup####.com
  • wocqeup####.com.8.####.8
  • wpxwtdq####.com
  • wpxwtdq####.com.8.####.8
  • wqbqnda####.cn
  • wqbqnda####.cn.8.####.8
  • wrsgljy####.com
  • wrsgljy####.com.8.####.8
  • wvgsolx####.ru
  • wvgsolx####.ru.8.####.8
  • xamekqb####.ru
  • xamekqb####.ru.8.####.8
  • xcyjnqk####.cn
  • xcyjnqk####.cn.8.####.8
  • xffqslc####.cn
  • xffqslc####.cn.8.####.8
  • xgffcqq####.ru
  • xgffcqq####.ru.8.####.8
  • xgxiiwa####.cn
  • xgxiiwa####.cn.8.####.8
  • xhvmlam####.cn
  • xhvmlam####.cn.8.####.8
  • xiogruj####.com
  • xiogruj####.com.8.####.8
  • xjnwqdo####.ru
  • xldorhb####.ru
  • xldorhb####.ru.8.####.8
  • xqgncdi####.cn
  • xqgncdi####.cn.8.####.8
  • xrckjir####.com
  • xrckjir####.com.8.####.8
  • xrthydq####.cn
  • xrthydq####.cn.8.####.8
  • xuwjfmt####.ru
  • xuwjfmt####.ru.8.####.8
  • xvxulrl####.cn
  • xvxulrl####.cn.8.####.8
  • xxghoxt####.ru
  • xxghoxt####.ru.8.####.8
  • xxpqltk####.ru
  • xxpqltk####.ru.8.####.8
  • xyfrycv####.ru
  • xyfrycv####.ru.8.####.8
  • ycrautp####.com
  • ycrautp####.com.8.####.8
  • ydvuksy####.ru
  • ydvuksy####.ru.8.####.8
  • yhxolur####.cn
  • yhxolur####.cn.8.####.8
  • yiwfikc####.ru
  • yiwfikc####.ru.8.####.8
  • yiwnkkj####.com
  • yiwnkkj####.com.8.####.8
  • ykbdbfm####.cn
  • ykbdbfm####.cn.8.####.8
  • ykodakn####.com
  • ykodakn####.com.8.####.8
  • ylswtbb####.cn
  • ylswtbb####.cn.8.####.8
  • yocbdfu####.cn
  • yocbdfu####.cn.8.####.8
  • yohjeyu####.cn
  • yohjeyu####.cn.8.####.8
  • yppwurm####.ru
  • yppwurm####.ru.8.####.8
  • ysihskw####.cn
  • ysihskw####.cn.8.####.8
  • ywnmfyl####.ru
  • ywnmfyl####.ru.8.####.8
  • yxanbyt####.ru
  • yxanbyt####.ru.8.####.8
HTTP POST requests:
  • xjnwqdo####.ru/poll.php
Miscellaneous:
Intercepts notifications.

Curing recommendations


Android

  1. If the mobile device is operating normally, download and install Dr.Web for Android Light. Run a full system scan and follow recommendations to neutralize the detected threats.
  2. If the mobile device has been locked by Android.Locker ransomware (the message on the screen tells you that you have broken some law or demands a set ransom amount; or you will see some other announcement that prevents you from using the handheld normally), do the following:
    • Load your smartphone or tablet in the safe mode (depending on the operating system version and specifications of the particular mobile device involved, this procedure can be performed in various ways; seek clarification from the user guide that was shipped with the device, or contact its manufacturer);
    • Once you have activated safe mode, install the Dr.Web для Android Light onto the infected handheld and run a full scan of the system; follow the steps recommended for neutralizing the threats that have been detected;
    • Switch off your device and turn it on as normal.

Find out more about Dr.Web for Android