Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Tool.SilentInstaller.1.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google Host>
- TCP(Google Services) <Google Host>
- TCP(Google Services) <Google Host>
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) n####.qg####.com:80
- TCP(TLS/1.1) api.map.b####.com:443
- TCP(TLS/1.1) 1####.168.76.254:51662
- TCP(TLS/1.1) 1####.168.76.254:51669
- TCP(TLS/1.1) 1####.168.76.254:51661
Запросы DNS:
- and####.b####.qq.com
- api.map.b####.com
- n####.qg####.com
Запросы HTTP POST:
- n####.qg####.com/api3
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/app_crashrecord/1002
- <Package Folder>/app_crashrecord/1004
- <Package Folder>/app_outdex/libdexprotector.3k9vck.2069.so
- <Package Folder>/app_outdex/libdexprotector.3k9vck.2113.so
- <Package Folder>/app_outdex/libdexprotector.3k9vck.2173.so
- <Package Folder>/app_outdex/libdexprotector.3k9vck.2202.so
- <Package Folder>/databases/bugly_db_-journal
- <Package Folder>/files/libcuid.so
- <Package Folder>/files/local_crash_lock (deleted)
- <Package Folder>/files/security_info
- <Package Folder>/shared_prefs/<Package>.BETA_VALUES.xml
- <Package Folder>/shared_prefs/authStatus_<Package>.xml
- <Package Folder>/shared_prefs/crashrecord.xml
- <Package Folder>/shared_prefs/shared_pref_shadowside.xml
- <Package Folder>/virtual/####/0.xml
- <Package Folder>/virtual/####/userlist.xml
- <SD-Card>/backups/####/.cuid
- <SD-Card>/backups/####/.cuid2
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop
- /system/bin/sh -c type su
- getprop
- logcat -d -v threadtime
Загружает динамические библиотеки:
- BaiduMapSDK_base_v4_3_0
- Bugly
- libdexprotector.3k9vck.2069
- libdexprotector.3k9vck.2113
- libdexprotector.3k9vck.2173
- libdexprotector.3k9vck.2202
- topa1024
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-GCM-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
