Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.308.origin
Скрывает свою иконку с экрана устройства.
Сетевая активность:
Подключается к:
- m####.####.com
- m####.####.com:81
- n####.####.com:10091
- tr####.####.com
- z####.####.com
Запросы HTTP GET:
- z####.####.com/img/20151208/193240/closeimg_20151208193240.png
Запросы HTTP POST:
- m####.####.com/hladserver/api/4
- m####.####.com:81/hladserver/api/1
- n####.####.com:10091/opaService/link
- tr####.####.com/update.xxdd
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.shell_ass/####/libopalink.so_32
- <Package Folder>/.shell_ass/####/libopalink.so_64
- <Package Folder>/.shell_ass/libopalink.so
- <Package Folder>/.shell_ass/opa_link.jar
- <Package Folder>/.shell_ass/stupid
- <Package Folder>/.shell_ass/stupid.zip
- <Package Folder>/app_baidu/xpodg
- <Package Folder>/databases/2de9bcd466b0b040afa9de1c8c3f9bd7.db-journal
- <Package Folder>/databases/vastpaydb
- <Package Folder>/databases/vastpaydb-journal
- <Package Folder>/files/####/zhsysgdi.jar
- <Package Folder>/files/iyre.png
- <Package Folder>/shared_prefs/cuf_config.xml
- <Package Folder>/shared_prefs/hlcsdpf.xml
- <Package Folder>/shared_prefs/hlcsdpf.xml (deleted)
- <Package Folder>/shared_prefs/hlcsdpf.xml.bak
- <Package Folder>/shared_prefs/hlcsdpf.xml.bak (deleted)
- <Package Folder>/shared_prefs/resc_b.xml
- <Package Folder>/shared_prefs/resc_b.xml.bak
- <Package Folder>/shared_prefs/resc_c.xml
- <Package Folder>/shared_prefs/resc_d.xml
- <Package Folder>/shared_prefs/resc_i.xml
- <Package Folder>/shared_prefs/resc_i.xml.bak
- <Package Folder>/shared_prefs/resc_i.xml.bak (deleted)
- <SD-Card>/.android/9c1afb12baebab3669032b62e5e28738.apk.tmp
- <SD-Card>/.android/close.png
- <SD-Card>/.android/dev.txt
- <SD-Card>/.android/fatpot.png
- <SD-Card>/.android/thinpot.png
- <SD-Card>/.mkcong
- <SD-Card>/85ed174d80a174c5c52dc729fbff6b18.jar
- <SD-Card>/Android/####/.nomedia
- <SD-Card>/Android/####/85ed174d80a174c5c52dc729fbff6b18.jar
- <SD-Card>/Android/####/a
- <SD-Card>/Android/####/c
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- <Package Folder>/app_baidu/xpodg -p <Package> -r am start --user 0 -n <Package>/eddw.ysgv.ggwf -a eddw.ysgv.ggwf -i 2093
- <Package Folder>/app_baidu/xpodg -p <Package> -r am start --user 0 -n <Package>/eddw.ysgv.ggwf -a eddw.ysgv.ggwf -i 2130
- <error:2>
- cat /proc/version
- cat /sys/class/net/wlan0/address
- chmod 777 <Package Folder>/app_baidu/xpodg
- getprop
- getprop ro.board.platform
- getprop ro.bootloader
- getprop ro.build.fingerprint
- getprop ro.build.product
- getprop ro.hardware
- getprop ro.kernel.qemu
- getprop ro.product.brand
- getprop ro.product.cpu.abi
- getprop ro.product.device
- getprop ro.product.manufacturer
- getprop ro.product.model
- getprop ro.secure
- sh
- sh <Package Folder>/app_baidu/xpodg -p <Package> -r am start --user 0 -n <Package>/eddw.ysgv.ggwf -a eddw.ysgv.ggwf -i 2093
- sh <Package Folder>/app_baidu/xpodg -p <Package> -r am start --user 0 -n <Package>/eddw.ysgv.ggwf -a eddw.ysgv.ggwf -i 2130
Загружает динамические библиотеки:
- libopalink
Использует следующие алгоритмы для шифрования данных:
- DES
Использует следующие алгоритмы для расшифровки данных:
- AES-CFB-NoPadding
- DES
- DES-CBC-PKCS5Padding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Осуществляет доступ к информации о входящих/исходящих звонках.
