Техническая информация
Вредоносные функции:
Отправляет СМС-сообщения:
- 18477134507: <IMEI> 型号:<System Property>; 手机:<System Property>; 系统版本:4.3.1
- 18477134507: <SMS Content> 广播:900
- 18477134507: <SMS Content> 广播:<SMS Address>
Загружает на исполнение код следующих детектируемых угроз:
- Android.SmsSpy.651.origin
Скрывает свою иконку с экрана устройства.
Перехватывает входящие смс и прекращает процесс их передачи обработчикам других приложений
Сетевая активность:
Подключается к:
- a####.####.com:8011
- and####.####.com
Запросы HTTP POST:
- a####.####.com:8011/rqd/async
- and####.####.com/rqd/async
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/databases/bugly_db_lejiagu-journal
- <Package Folder>/files/local_crash_lock
- <Package Folder>/files/local_crash_lock (deleted)
- <Package Folder>/files/native_record_lock
- <Package Folder>/files/security_info
- <Package Folder>/mix.dex
- <Package Folder>/shared_prefs/configurations_data.xml
- <Package Folder>/shared_prefs/legu_900015015.xml
- <Package Folder>/tx_shell/libshella-2.4.2.so
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c type su
- chmod 700 /data/data/com.cs1k3322tdb/tx_shell/libshella-2.4.2.so
- chmod 700 <Package Folder>/tx_shell/libshella-2.4.2.so
- getprop ro.board.platform
- getprop ro.yunos.version
Загружает динамические библиотеки:
- Bugly
- libshella-2.4.2
Использует следующие алгоритмы для шифрования данных:
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-GCM-NoPadding
Использует права администратора.
Использует специальную библиотеку для скрытия исполняемого байткода.
Изменяет настройки громкости и вибрации
Осуществляет доступ к информации о телефоне (номер, imei и тд.)
Осуществляет доступ к информации об активных администраторах устройства
Отрисовывает собственные окна поверх других приложений
Парсит информацию из смс сообщений
Осуществляет доступ к информации об отправленых/принятых смс
