Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Xiny.20
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- 2####.####.34
- b####.####.cn
- cl####.####.com:9110
- g####.####.com
- m####.####.com
- s####.####.cn
Запросы HTTP GET:
- 2####.####.34/img.ninebox.cn/dat/b/1.0.5/12.dat?wsiphost=####
- g####.####.com/dat/b/1.0.5/12.dat
- s####.####.cn/jiagu/s.html?model=####&osVersion=####&b=####&c=####&rid=#...
Запросы HTTP POST:
- b####.####.cn/admin/scs.action?requestId=####
- cl####.####.com:9110/terminal/ad/getAdList.do?t=####
- m####.####.com/cooguogw/interface.action?advertModule=####
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/cache/####/-1059706541
- <Package Folder>/cache/####/-2054404330
- <Package Folder>/cache/####/1658508704
- <Package Folder>/cache/####/1807629056
- <Package Folder>/databases/pdownloads
- <Package Folder>/databases/pdownloads-journal
- <Package Folder>/files/libprotectClass.so
- <Package Folder>/files/libqupc.so
- <Package Folder>/shared_prefs/LocationType.xml
- <Package Folder>/shared_prefs/cachetimesha_sidebar.xml
- <Package Folder>/shared_prefs/coo_id.xml
- <Package Folder>/shared_prefs/coo_id.xml.bak
- <Package Folder>/shared_prefs/j-id.xml
- <Package Folder>/shared_prefs/ki.xml
- <Package Folder>/shared_prefs/kp_shortcut.xml
- <Package Folder>/shared_prefs/mid.xml
- <Package Folder>/shared_prefs/qihooLock.xml
- <Package Folder>/shared_prefs/request_prefs.xml
- <Package Folder>/shared_prefs/toggle_flag_pref.xml
- <Package Folder>/shared_prefs/type.xml
- <Package Folder>/shared_prefs/xy.xml
- <SD-Card>/Android/####/KI.DAT
- <SD-Card>/Android/####/MID.DAT
- <SD-Card>/Download/####/clst.dat
- <SD-Card>/Download/####/d.dat
- <SD-Card>/Download/####/icp.dat
- <SD-Card>/Download/####/jar_dex.tar.gz
- <SD-Card>/Download/####/rt.dat
- <SD-Card>/Download/####/st.dat
- <SD-Card>/Download/####/test.jar
- <SD-Card>/Download/####/u.dat
- <SD-Card>/ki
Другие:
Запускает следующие shell-скрипты:
- chmod 777 /data/data/com.sendsms.mic/files/libqupc.so
- chmod 777 <Package Folder>/files/libqupc.so
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- libprotectClass
Использует следующие алгоритмы для шифрования данных:
- DES
Использует следующие алгоритмы для расшифровки данных:
- DES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
