Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Rooter.10
Сетевая активность:
Подключается к:
- a####.####.com
- s####.####.com
- s####.####.com:36800
- ut####.cn
- ut####.cn:8080
Запросы HTTP GET:
- a####.####.com/scheme/rpluIn/ajsbv_43.png
Запросы HTTP POST:
- s####.####.com/feedbacksc.action
- s####.####.com:36800/configsc.action
- ut####.cn/excalibur/avalon/sdk/pay.aspx
- ut####.cn:8080/excalibur/avalon/sdk/pay.aspx
Изменения в файловой системе:
Создает следующие файлы:
- /data/local/####/.com.android.uhw.btf
- /data/local/####/.gi
- /data/local/####/.m3test
- /system/app/Okszvrovlc.apk
- /system/bin/.ts
- /system/bin/qweus
- /system/etc/install-recovery.sh
- <Package Folder>/app_dex/utopay.jar
- <Package Folder>/databases/utopay.db-journal
- <Package Folder>/files/####/ajsbv.apk
- <Package Folder>/files/####/ajsbv.zip
- <Package Folder>/files/####/cr.sh
- <Package Folder>/files/####/qweus
- <Package Folder>/files/####/rf
- <Package Folder>/files/####/rpluin.zip
- <Package Folder>/files/####/ts
- <Package Folder>/files/.ajsbv.download
- <Package Folder>/files/.e.download
- <Package Folder>/files/.rpluin.download
- <Package Folder>/shared_prefs/.r.jar
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/shared_prefs/<Package>_preferences.xml.bak
- <Package Folder>/shared_prefs/pluginLib.xml
- <SD-Card>/Android/####/.CHID
- <SD-Card>/Android/####/.RID
- <SD-Card>/Android/####/.daeitfc
- <SD-Card>/Android/####/.daepkgs
- <SD-Card>/Android/####/.imei
- <SD-Card>/Android/####/.imsi
Другие:
Запускает следующие shell-скрипты:
- app_process /system/bin com.android.commands.am.Am startservice -n com.android.uhw.btf/com.android.smg.PvmService
- chattr +iaA /system/app/Okszvrovlc.apk
- chattr -iaA /system
- chmod 0777 /data/data/com.qihoo360.mobilesafe/databases/
- chmod 644 /system/app/Okszvrovlc.apk
- chmod 666 /data/data/com.qihoo360.mobilesafe/databases/*
- chmod 6755 /data/local/tmp/.gi
- chmod 6755 /system/bin/.ts
- chmod 6755 /system/bin/qweus
- chmod 777 /system/app/
- chmod 777 /system/lib
- getprop apps.customerservice.device
- mount -o remount,ro /system
- mount -o remount,rw /system
- mount -r -w -o remount /system
- sh
- su
- touch -m -t 1500972925 /system/app/Okszvrovlc.apk
- touch -m -t 1500972925 /system/bin/.ts
- touch -m -t 1500972925 /system/bin/qweus
Загружает динамические библиотеки:
- NdkLib
Использует следующие алгоритмы для расшифровки данных:
- DES
Использует повышенные привилегии.
Осуществляет доступ к информации о телефоне (номер, imei и тд.)
Осуществляет доступ к информации об установленных приложениях
Отрисовывает собственные окна поверх других приложений
Парсит информацию из смс сообщений
Осуществляет доступ к информации об отправленых/принятых смс
