Техническая информация
Вредоносные функции:
Отправляет СМС-сообщения:
- 15575454967: <SMS Address>#<SMS Content>
- 15575454967: 程 序 已 安 装,已 打 开
- 15575454967: 程 序 已 成 功 安 装
Скрывает свою иконку с экрана устройства.
Перехватывает входящие смс и прекращает процесс их передачи обработчикам других приложений.
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.cache/<Package>
- <Package Folder>/.cache/<Package>.art
- <Package Folder>/.cache/classes.dex
- <Package Folder>/.cache/classes.jar
- <Package Folder>/.cache/libsecexe.x86.so
- <Package Folder>/.cache/libsecmain.x86.so
- <Package Folder>/.md5
- <Package Folder>/.sec_version
- <Package Folder>/app_bangcleplugin/container.dex
- <Package Folder>/app_data/container.pre_global_config
- <Package Folder>/app_outdex.container.e8b06f9b6317e8fc0c1ddeafd7f71664/container.dex
- <Package Folder>/shared_prefs/device_id.xml.xml
Другие:
Запускает следующие shell-скрипты:
- <Package> <Package> -1836159816 0 /data/app/<Package>-1.apk 39 <Package> 50 51
- <Package> <Package> -1836159816 0 /data/app/<Package>-1.apk 40 <Package> 48 49
- chmod 755 <Package Folder>/.cache/<Package>
- chmod 755 <Package Folder>/.cache/<Package>.art
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- libsecexe.x86
Использует права администратора.
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об активных администраторах устройства.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
