Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.505.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony)
Сетевая активность:
Подключается к:
- 2####.####.34
- b####.####.cn
- i####.####.cn
Запросы HTTP GET:
- 2####.####.34/img.ninebox.cn/dat/b/1.0.5/12.dat?wsiphost=####
- i####.####.cn/dat/b/1.0.5/12.dat
Запросы HTTP POST:
- b####.####.cn/admin/scs.action?requestId=####
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.cache/<Package>
- <Package Folder>/.cache/<Package>.art
- <Package Folder>/.cache/classes.dex
- <Package Folder>/.cache/classes.jar
- <Package Folder>/.cache/libsecexe.x86.so
- <Package Folder>/.cache/libsecmain.x86.so
- <Package Folder>/.md5
- <Package Folder>/.sec_version
- <Package Folder>/app_bangcleplugin/container.dex
- <Package Folder>/app_data/container.pre_global_config
- <Package Folder>/app_outdex.container.e8b06f9b6317e8fc0c1ddeafd7f71664/container.dex
- <Package Folder>/databases/fs_download.db
- <Package Folder>/databases/fs_download.db-journal
- <Package Folder>/shared_prefs/LocationType.xml
- <Package Folder>/shared_prefs/cachetimesha_sidebar.xml
- <Package Folder>/shared_prefs/common_pre.xml
- <Package Folder>/shared_prefs/config.xml
- <Package Folder>/shared_prefs/device_id.xml.xml
- <Package Folder>/shared_prefs/fsappnfo_pre.xml
- <Package Folder>/shared_prefs/fsconf_pre.xml
- <Package Folder>/shared_prefs/fsconf_pre.xml.bak
- <Package Folder>/shared_prefs/fstrategy_pre.xml
- <Package Folder>/shared_prefs/j-id.xml
- <Package Folder>/shared_prefs/mid.xml
- <Package Folder>/shared_prefs/type.xml
- <Package Folder>/shared_prefs/xy.xml
- <SD-Card>/Download/####/d.dat
Другие:
Запускает следующие shell-скрипты:
- <Package> <Package> -1836090184 0 /data/app/<Package>-1.apk 39 <Package> 50 51
- <Package> <Package> -1836090184 0 /data/app/<Package>-1.apk 39 <Package> 51 52
- <Package> <Package> -1836090184 0 /data/app/<Package>-1.apk 40 <Package> 48 49
- chmod 755 /data/data/com.yanyanww.caigeming/.cache/com.yanyanww.caigeming
- chmod 755 /data/data/com.yanyanww.caigeming/.cache/com.yanyanww.caigeming.art
- chmod 755 <Package Folder>/.cache/<Package>
- chmod 755 <Package Folder>/.cache/<Package>.art
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- libsecexe.x86
Использует следующие алгоритмы для шифрования данных:
- DES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети
Осуществляет доступ к информации о телефоне (номер, imei и тд.)
Осуществляет доступ к информации об установленных приложениях
Осуществляет доступ к информации о запущенных приложениях
Отрисовывает собственные окна поверх других приложений
