Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.203.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- u####.com
Запросы HTTP POST:
- u####.com/app_logs
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.lib/libexec.so
- <Package Folder>/.lib/libexecmain.so
- <Package Folder>/app_bin/i.sh
- <Package Folder>/databases/mobileadr1.db-journal
- <Package Folder>/databases/mobiledata.db-journal
- <Package Folder>/databases/mobilesms.db-journal
- <Package Folder>/databases/usedapps.db-journal
- <Package Folder>/files/mobclick_agent_cached_<Package>
- <Package Folder>/files/q.jar
- <Package Folder>/files/tempq.jar (deleted)
- <Package Folder>/shared_prefs/config.xml
- <Package Folder>/shared_prefs/mobclick_agent_header_<Package>.xml
- <Package Folder>/shared_prefs/mobclick_agent_online_setting_<Package>.xml
- <Package Folder>/shared_prefs/mobclick_agent_online_setting_<Package>.xml.bak
- <Package Folder>/shared_prefs/mobclick_agent_state_<Package>.xml
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh <Package Folder>/app_bin/i.sh
- chmod 777 <Package Folder>/app_bin/i.sh
- getprop ro.product.cpu.abi
- su -c <Package Folder>/app_bin/i.sh
Загружает динамические библиотеки:
- libexec
- libexecmain
- secma1n
Использует повышенные привилегии.
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Осуществляет доступ к информации о входящих/исходящих звонках.
Осуществляет доступ к информации об отправленых/принятых смс.
