Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.SmsPayment.11.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(GCM) <Google Host>
- TCP(HTTP/1.1) jcy####.chaos-####.com.####.com:80
- TCP(HTTP/1.1) old####.huh####.com:8080
Запросы DNS:
- jcy####.chaos-####.com
- old####.huh####.com
- qyp.qi1####.com
Запросы HTTP GET:
- jcy####.chaos-####.com.####.com/31bea850a57011e68bdd00163e005374.jpg
- jcy####.chaos-####.com.####.com/5d9638daa57011e68bdd00163e005374.jpg
- jcy####.chaos-####.com.####.com/baa67ae0d7ab11e68bdd00163e005374.png
- jcy####.chaos-####.com.####.com/cd394ae4d7aa11e68bdd00163e005374.jpg
- old####.huh####.com:8080/ads
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/databases/mydata-journal
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/user.enandde.data
- <Package Folder>/user.enandde.data.jar
- <SD-Card>/.downloads/31bea850a57011e68bdd00163e005374.jpg
- <SD-Card>/.downloads/5d9638daa57011e68bdd00163e005374.jpg
- <SD-Card>/.downloads/baa67ae0d7ab11e68bdd00163e005374.png
- <SD-Card>/.downloads/cd394ae4d7aa11e68bdd00163e005374.jpg
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh
- chmod 777 /storage/emulated/0/.downloads
- chmod 777 /storage/emulated/0/.downloads/31bea850a57011e68bdd00163e005374.jpg
- chmod 777 /storage/emulated/0/.downloads/5d9638daa57011e68bdd00163e005374.jpg
- chmod 777 /storage/emulated/0/.downloads/baa67ae0d7ab11e68bdd00163e005374.png
- chmod 777 /storage/emulated/0/.downloads/cd394ae4d7aa11e68bdd00163e005374.jpg
- ls -l /sbin/su
- ls -l /system/bin/su
- ls -l /system/sbin/su
- ls -l /system/xbin/su
- ls -l /vendor/bin/su
Загружает динамические библиотеки:
- shell
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-NoPadding
- DES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Осуществляет доступ к информации об отправленых/принятых смс.
