Android.Packed.26486

Добавлен в вирусную базу Dr.Web: 2017-08-07

Описание добавлено: 2017-08-07

Техническая информация

Вредоносные функции:

Загружает на исполнение код следующих детектируемых угроз:

Android.Mixi.16.origin
Android.Mixi.21.origin

Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).

Сетевая активность:

Подключается к:

a####.####.me
g####.####.com
r####.####.cn
s####.####.com

Запросы HTTP GET:

a####.####.me/api/ads/check?app=####&sn=####&os_v=####&md5=####&secret=#...
g####.####.com/cr/sv/getRecord?eids=####&appKey=####&flag=####
s####.####.com/cr/sdk/170417/goplaysdk_statistics_all_1704171.dat

Запросы HTTP POST:

r####.####.cn/a/
r####.####.cn/ow/android/a

Изменения в файловой системе:

Создает следующие файлы:

<Package Folder>/databases/Cache.db-journal
<Package Folder>/databases/Freq.db-journal
<Package Folder>/databases/b2a86e7831b9761cc90b5e32354e751c.db-journal
<Package Folder>/databases/ezweather
<Package Folder>/databases/ezweather-journal
<Package Folder>/databases/ezweather.db
<Package Folder>/databases/webview.db-journal
<Package Folder>/files/####/5ezweather2<System Property>46
<Package Folder>/files/####/<Package>12<System Property>2
<Package Folder>/files/####/ntmp21052171
<Package Folder>/files/####/ntmp22362249
<Package Folder>/files/1501849928408_dyV17041701Dj1so32.so
<Package Folder>/files/1501849934492_dyV17041701Dj1so32.so
<Package Folder>/files/<System Property>112.jar
<Package Folder>/files/hftJcw46N.jar
<Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s
<Package Folder>/shared_prefs/<Package>_preferences.xml
<Package Folder>/shared_prefs/<Package>_preferences.xml.bak
<Package Folder>/shared_prefs/EzWeatherSP.xml
<Package Folder>/shared_prefs/domob_config.xml
<Package Folder>/shared_prefs/resc_b.xml
<Package Folder>/shared_prefs/resc_b.xml.bak
<Package Folder>/shared_prefs/resc_c.xml
<Package Folder>/shared_prefs/resc_d.xml
<Package Folder>/shared_prefs/resc_i.xml
<Package Folder>/shared_prefs/resc_i.xml.bak
<SD-Card>/.dm/dm.file
<SD-Card>/Android/####/a
<SD-Card>/Android/####/c

Другие:

Запускает следующие shell-скрипты:

<Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s -h be529dd8666a483ba8784fef4b4993e2 <Package Folder>/.syslib-
<error:2>
chmod 0771 <Package Folder>/.syslib-
getenforce
getprop ro.bootloader
getprop ro.build.fingerprint
getprop ro.build.product
getprop ro.hardware
getprop ro.kernel.qemu
getprop ro.product.brand
getprop ro.product.device
getprop ro.product.manufacturer
getprop ro.product.model
getprop ro.secure
rm -f <Package Folder>/files/hftJcw46N.dex
rm -f <Package Folder>/files/hftJcw46N.jar
rm -f <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s
rm <Package Folder>/files/hftJcw46N.dex
rm <Package Folder>/files/hftJcw46N.jar
rm <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s
sh
sh -c /system/usr/toolbox rm -f <Package Folder>/files/hftJcw46N.dex > /dev/null 2>&1
sh -c /system/usr/toolbox rm -f <Package Folder>/files/hftJcw46N.jar > /dev/null 2>&1
sh -c /system/usr/toolbox rm -f <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s > /dev/null 2>&1
sh -c rm <Package Folder>/files/hftJcw46N.dex > /dev/null 2>&1
sh -c rm <Package Folder>/files/hftJcw46N.jar > /dev/null 2>&1
sh -c rm <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s > /dev/null 2>&1
sh -c rm -f <Package Folder>/files/hftJcw46N.dex > /dev/null 2>&1
sh -c rm -f <Package Folder>/files/hftJcw46N.jar > /dev/null 2>&1
sh -c rm -f <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s > /dev/null 2>&1
sh <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s -h be529dd8666a483ba8784fef4b4993e2 <Package Folder>/.syslib-

Загружает динамические библиотеки:

1501849928408_dyV17041701Dj1so32
1501849934492_dyV17041701Dj1so32

Использует следующие алгоритмы для шифрования данных:

AES-ECB-PKCS7Padding

Использует следующие алгоритмы для расшифровки данных:

AES-CFB-NoPadding

Осуществляет доступ к информации о геолокации.

Осуществляет доступ к информации о сети.

Осуществляет доступ к информации о телефоне (номер, imei и тд.).

Осуществляет доступ к информации о настроках APN.

Осуществляет доступ к информации о запущенных приложениях.

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней