Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.266.origin
- Android.Triada.38.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(GCM) <Google Host>
Запросы DNS:
- b####.52####.com
- ksf.sd####.com
- wqf.wh####.com
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/app_dexprotector/.lock
- <Package Folder>/app_dexprotector/2FAA1EECE6C0DB226096377D17CC8...leted)
- <Package Folder>/app_dexprotector/2FAA1EECE6C0DB226096377D17CC8693.dat
- <Package Folder>/app_dexprotector/2FAA1EECE6C0DB226096377D17CC8693.odex
- <Package Folder>/app_outdex/15dad3d5c2f.apk
- <Package Folder>/app_outdex/15dad3d6171.apk
- <Package Folder>/app_outdex/15dad3d7b99.apk
- <Package Folder>/app_outdex/15dad3d95a1.apk
- <Package Folder>/app_outdex/15dad3e49ba.apk
- <Package Folder>/app_outdex/libdexprotector.so
- <Package Folder>/databases/####/cc.db
- <Package Folder>/databases/####/cc.db-journal
- <Package Folder>/files/nrmt
- <Package Folder>/files/nrmt.jar
- <Package Folder>/files/ru
- <Package Folder>/files/ru.apk
- <Package Folder>/files/uhcg.png
- <Package Folder>/shared_prefs/config.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/xapcinfo.xml
Другие:
Запускает следующие shell-скрипты:
- conbb od2gf04pd9
- cufsdosck ac554db364f
- cufsmgr eb47495f7bb
- service call appops 0 i32 15 i32 10044 s16 <Package> i32 0
- service call appops 1 i32 15 i32 10044 s16 <Package> i32 0
- service call appops 10 i32 15 i32 10044 s16 <Package> i32 0
- service call appops 11 i32 15 i32 10044 s16 <Package> i32 0
- service call appops 12 i32 15 i32 10044 s16 <Package> i32 0
- service call appops 13 i32 15 i32 10044 s16 <Package> i32 0
- service call appops 14 i32 15 i32 10044 s16 <Package> i32 0
- service call appops 15 i32 15 i32 10044 s16 <Package> i32 0
- service call appops 16 i32 15 i32 10044 s16 <Package> i32 0
- service call appops 17 i32 15 i32 10044 s16 <Package> i32 0
- service call appops 18 i32 15 i32 10044 s16 <Package> i32 0
- service call appops 19 i32 15 i32 10044 s16 <Package> i32 0
- service call appops 2 i32 15 i32 10044 s16 <Package> i32 0
- service call appops 3 i32 15 i32 10044 s16 <Package> i32 0
- service call appops 4 i32 15 i32 10044 s16 <Package> i32 0
- service call appops 5 i32 15 i32 10044 s16 <Package> i32 0
- service call appops 6 i32 15 i32 10044 s16 <Package> i32 0
- service call appops 7 i32 15 i32 10044 s16 <Package> i32 0
- service call appops 8 i32 15 i32 10044 s16 <Package> i32 0
- service call appops 9 i32 15 i32 10044 s16 <Package> i32 0
- sh
Загружает динамические библиотеки:
- libdexprotector
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Отрисовывает собственные окна поверх других приложений.
