Техническая информация
Вредоносные функции:
Отправляет СМС-сообщения:
- 18269091523: 2-900-<SMS Content>-
- 18269091523: 2-<SMS Address>-<SMS Content>-
- 18269091523: 6-<IMEI>
- 18269091523: 数据返回
Загружает на исполнение код следующих детектируемых угроз:
- Android.SmsSpy.425.origin
Загружает из Интернета следующие детектируемые угрозы:
- Android.SmsSpy.425.origin
Скрывает свою иконку с экрана устройства.
Сетевая активность:
Подключается к:
- and####.####.com
Запросы HTTP POST:
- and####.####.com/rqd/async
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/databases/bugly_db_lejiagu-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/local_crash_lock
- <Package Folder>/files/local_crash_lock (deleted)
- <Package Folder>/files/native_record_lock
- <Package Folder>/files/native_record_lock (deleted)
- <Package Folder>/files/security_info
- <Package Folder>/mix.dex
- <Package Folder>/shared_prefs/Installation.xml
- <Package Folder>/shared_prefs/legu_900015015.xml
- <Package Folder>/tx_shell/libshella-2.4.2.so
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c type su
- <dexopt>
- chmod 700 /data/data/org.eichang.laidao/tx_shell/libshella-2.4.2.so
- chmod 700 <Package Folder>/tx_shell/libshella-2.4.2.so
- getprop ro.board.platform
- getprop ro.yunos.version
Использует права администратора.
Использует специальную библиотеку для скрытия исполняемого байткода.
