Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.269.origin
- Android.Mixi.13.origin
Сетевая активность:
Подключается к:
- g####.####.com
- w####.####.com:9003
- o####.####.com
- 1####.####.42:8008
- w####.####.com
- y####.com
- i####.####.cn
- a####.####.com
Запросы HTTP GET:
- i####.####.cn/iplookup/iplookup.php?format=####
- g####.####.com/cr/sdk/goplaysdk_statistics_method.dat
Запросы HTTP POST:
- w####.####.com/api/getCfg.jsp
- w####.####.com/api/uploadInstallApps.jsp
- w####.####.com/api/getInAppFull.jsp
- w####.####.com/api/getAlist.jsp
- w####.####.com/api/getLauncher.jsp
- y####.com/cu.ashx
- w####.####.com/api/getSI.jsp
- w####.####.com/api/getFallDown.jsp
- w####.####.com/api/getFloat.jsp
- g####.####.com/cr/sv/getEP
- w####.####.com/api/getStartPop.jsp
- o####.####.com/check_config_update
- a####.####.com/app_logs
- w####.####.com:9003/api/getAreaId.jsp
- 1####.####.42:8008/DispatchServer/Rcc
- w####.####.com/api/uploadSaleInfo.jsp
- w####.####.com/api/getInAppNonFull.jsp
- w####.####.com/api/getInAppFloat.jsp
- w####.####.com/api/getSlidingScreen.jsp
- w####.####.com/api/getStartNonFull.jsp
- w####.####.com/api/getStartDialog.jsp
- w####.####.com/api/getStartFull.jsp
- w####.####.com/api/getDtk.jsp
- w####.####.com/api/getSht.jsp
- w####.####.com/api/getNotification.jsp
- w####.####.com/api/getExit.jsp
- w####.####.com/api/getStartWin.jsp
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/shared_prefs/SDK.xml
- /sdcard/Android/data/system/cache/.hb/insifhbm_l_hb_t
- /data/data/####/files/hftJcw46N.jar
- /data/data/####/files/1485415655846_cgr.so
- /sdcard/Android/data/system/cache/.hb/exthbm_l_hb_t
- /sdcard/Android/data/system/cache/.hb/sdhm_l_hb_t
- /sdcard/Android/data/system/cache/.hb/swhm_l_hb_t
- /data/data/####/databases/hlx_wifi.db
- /sdcard/Android/data/system/cache/.hb/insiohbm_l_hb_t
- /data/data/####/shared_prefs/online.xml.bak
- /data/data/####/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s
- /data/data/####/shared_prefs/areaInfo.xml
- /sdcard/Android/data/system/cache/.hb/ntbhbm_l_hb_t
- /data/data/####/files/1485415672725.jar
- /data/data/####/shared_prefs/SDK.xml.bak
- /data/data/####/shared_prefs/pp.xml.bak
- /data/data/####/databases/hlx_wifi.db-journal
- /sdcard/Android/data/system/cache/.hb/snfhm_l_hb_t
- /data/data/####/shared_prefs/umeng_general_config.xml
- /data/data/####/shared_prefs/localtime.xml.bak
- /data/data/####/files/1485415655516.jar
- /sdcard/Android/data/system/cache/.hb/DtkAdbm_l_hb_t
- /sdcard/Android/data/system/cache/.hb/cfghbm_l_hb_t
- /sdcard/Android/data/system/cache/.hb/sfhm_l_hb_t
- /data/data/####/files/.imprint
- /data/data/####/files/1485415655487
- /sdcard/Android/data/system/cache/.hb/fhbm_l_hb_t
- /data/data/####/databases/baidu_caw-journal
- /sdcard/Android/data/system/cache/.hb/sdhbm_l_hb_t
- /sdcard/Android/data/system/cache/.hb/IUhbm_l_hb_t
- /sdcard/Android/data/system/cache/.hb/lauhbm_l_hb_t
- /data/data/####/shared_prefs/localtime.xml
- /data/data/####/biz_close.jar
- /data/data/####/shared_prefs/online.xml
- /data/data/####/shared_prefs/####_preferences.xml
- /data/data/####/shared_prefs/device.xml
- /data/data/####/files/umeng_it.cache
- /data/data/####/shared_prefs/pp.xml
- /sdcard/Android/data/system/cache/.hb/falhbm_l_hb_t
- /sdcard/device
- /sdcard/Android/data/system/cache/.hb/sihm_l_hb_t
- /data/data/####/files/80.tmp
- /sdcard/Android/data/system/cache/.hb/sihbm_l_hb_t
- /sdcard/Android/data/system/cache/.hb/insiwfhbm_l_hb_t
Присваивает атрибут 'исполняемый' для следующих файлов:
- /data/data/####/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s
Другие:
Запускает следующие shell-скрипты:
- getenforce
- /data/data/####/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s -h 67617e5563a345b69d5794c896f51115 /data/data/####/.syslib-
- chmod 0771 /data/data/####/.syslib-
Может автоматически отправлять СМС-сообщения.
