Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Mixi.13.origin
- Android.Mixi.16.origin
Сетевая активность:
Подключается к:
- 2####.####.89
- 2####.####.89:26000
- g####.####.com
- s####.####.com
Запросы HTTP GET:
- 2####.####.89/Apk/Silentinstall.apk
- g####.####.com/cr/sv/getRltNew?eid=####&estatus=####&appkey=####&pid=###...
- s####.####.com/rtf/6408c259f823e8db8ced83ef353a06b4.slze
Запросы HTTP POST:
- 2####.####.89:26000/RestfullWcfService/Service.svc/DetailsThird
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/app_bin/daemon
- <Package Folder>/files/####/.md
- <Package Folder>/files/####/2BC5E3E2D07DB08D6D979BD3CC73DCF4
- <Package Folder>/files/####/31ADD4D43F690D8C7ED9E796E656978E
- <Package Folder>/files/####/339ADDC9D5E3F63DC42038BB67339983
- <Package Folder>/files/####/501D0CB20760B2E5399389B117CC37E7
- <Package Folder>/files/####/573F8B66BE4547FBD689FA8B39F2DB7F
- <Package Folder>/files/####/637C4F2CC10D9B1173AD90600C821369
- <Package Folder>/files/####/8E10DACE73BDC2D11990065C94813DB3
- <Package Folder>/files/####/9EA2CBA22ABD90EB78213599F4BB49B0
- <Package Folder>/files/####/C1D076D869C3B0352A57EFAC9071B4C3
- <Package Folder>/files/####/gpdu
- <Package Folder>/files/####/test
- <Package Folder>/files/1501849262392_cgr.so
- <Package Folder>/files/1501849263420_cgr.so
- <Package Folder>/files/1501849308472.jar
- <Package Folder>/files/408.jar
- <Package Folder>/files/421.jar
- <Package Folder>/files/430.jar
- <Package Folder>/files/610.jar
- <Package Folder>/files/611.jar
- <Package Folder>/files/617.jar
- <Package Folder>/files/640.jar
- <Package Folder>/files/806.jar
- <Package Folder>/files/hftJcw46N.jar
- <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/shared_prefs/<Package>_preferences.xml.bak
- <Package Folder>/shared_prefs/ModSettings.xml
- <SD-Card>/Silentinstall.apk
- <SD-Card>/Silentinstall.apk (deleted)
- <SD-Card>/testkey.x509.pem
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/app_bin/daemon -p <Package> -s <Package>.MainService -t 120
- <Package Folder>/files/.play/test <Package Folder>/files/.play/ 2d266f06b341474ba37415f28f34b573
- <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s -h 2d266f06b341474ba37415f28f34b573 <Package Folder>/.syslib-
- chmod 0755 <Package Folder>/app_bin/daemon
- chmod 0771 <Package Folder>/.syslib-
- chmod 770 <Package Folder>/files/.play/test
- getenforce
- rm -f <Package Folder>/files/hftJcw46N.jar
- rm -f <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s
- rm <Package Folder>/files/hftJcw46N.dex
- rm <Package Folder>/files/hftJcw46N.jar
- rm <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s
- sh -c /system/usr/toolbox rm -f <Package Folder>/files/hftJcw46N.dex > /dev/null 2>&1
- sh -c /system/usr/toolbox rm -f <Package Folder>/files/hftJcw46N.jar > /dev/null 2>&1
- sh -c /system/usr/toolbox rm -f <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s > /dev/null 2>&1
- sh -c rm <Package Folder>/files/hftJcw46N.dex > /dev/null 2>&1
- sh -c rm <Package Folder>/files/hftJcw46N.jar > /dev/null 2>&1
- sh -c rm <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s > /dev/null 2>&1
- sh -c rm -f <Package Folder>/files/hftJcw46N.dex > /dev/null 2>&1
- sh -c rm -f <Package Folder>/files/hftJcw46N.jar > /dev/null 2>&1
- sh -c rm -f <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s > /dev/null 2>&1
- sh /system/bin/am startservice --user 0 -n <Package>/<Package>.MainService
- sh <Package Folder>/files/.play/test <Package Folder>/files/.play/ 2d266f06b341474ba37415f28f34b573
- sh <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s -h 2d266f06b341474ba37415f28f34b573 <Package Folder>/.syslib-
Загружает динамические библиотеки:
- 1501849262392_cgr
- 1501849263420_cgr
Использует следующие алгоритмы для шифрования данных:
- AES-ECB-PKCS5Padding
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о зарегистрированных на устройстве аккаунтах (Google, Facebook и тд.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
