Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.308.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- 1####.####.197
- 1####.####.21
- a####.####.com
- m####.####.com
- m####.####.com:81
- n####.####.com:10091
- z####.####.com
Запросы HTTP GET:
- z####.####.com/img/20170330/191052/tablescreen_20170330191052.jpg
Запросы HTTP POST:
- 1####.####.197/main/content/upd.php
- 1####.####.21/main/form/rg.php
- a####.####.com/app_logs
- m####.####.com/hladserver/api/3
- m####.####.com:81/hladserver/api/1
- n####.####.com:10091/opaService/link
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.shell_ass/####/libopalink.so_32
- <Package Folder>/.shell_ass/####/libopalink.so_64
- <Package Folder>/.shell_ass/libopalink.so
- <Package Folder>/.shell_ass/opa_link.jar
- <Package Folder>/.shell_ass/stupid
- <Package Folder>/.shell_ass/stupid.zip
- <Package Folder>/databases/vastpaydb
- <Package Folder>/databases/vastpaydb-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/####/exchangeIdentity.json
- <Package Folder>/files/####/zhsysgdi.jar
- <Package Folder>/files/.imprint
- <Package Folder>/files/adctmmjd.so
- <Package Folder>/files/analys.conf
- <Package Folder>/files/hfzg.png
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/shared_prefs/agchk.xml
- <Package Folder>/shared_prefs/cuf_config.xml
- <Package Folder>/shared_prefs/hlcsdpf.xml
- <Package Folder>/shared_prefs/hlcsdpf.xml.bak
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml.bak
- <SD-Card>/.android/9c1afb12baebab3669032b62e5e28738.apk.tmp
- <SD-Card>/.android/close.png
- <SD-Card>/.android/dev.txt
- <SD-Card>/.android/fatpot.png
- <SD-Card>/.android/thinpot.png
- <SD-Card>/<Package>/analys.conf
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- cat /proc/version
- cat /sys/class/net/wlan0/address
- getprop
- getprop ro.board.platform
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- adctmmjd
- libopalink
Использует следующие алгоритмы для шифрования данных:
- DES
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CFB-NoPadding
- DES
- DES-CBC-PKCS5Padding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Осуществляет доступ к информации о входящих/исходящих звонках.
Осуществляет доступ к информации об отправленых/принятых смс.
