Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.589.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(GCM) <Google Host>
- TCP(HTTP/1.1) 52.52.2####.56:80
- TCP(HTTP/1.1) go.hotw####.top:80
- TCP(HTTP/1.1) cdnappl####.b0.a####.com:80
- TCP(HTTP/1.1) cdnimgl####.b0.a####.com:80
- TCP(HTTP/1.1) 1####.76.224.67:80
- TCP(HTTP/1.1) cdnyxzf####.b0.a####.com:80
- TCP(HTTP/1.1) cdn.game####.org:80
- TCP(TLS/1.0) ws.b####.com:443
- TCP(TLS/1.0) ssl.google-####.com:443
Запросы DNS:
- cdn.app.kac####.cn
- cdn.app.qqy####.cn
- cdn.game####.org
- cdn.img.qqy####.cn
- go.hotw####.top
- ssl.google-####.com
- ws.b####.com
Запросы HTTP GET:
- cdn.game####.org/strategy/base
- cdn.game####.org/strategy/loss_4.3
- cdn.game####.org/strategy/sul18
Запросы HTTP POST:
- go.hotw####.top/hadat/hlcul/wi
- go.hotw####.top/hadat/u/z
- go.hotw####.top/hadat/wi/h
- go.hotw####.top/jzbdt/kwieq/gdoa
- go.hotw####.top/jzbdt/u/lb
- go.hotw####.top/jzbdt/wmg/bvoh/gx
- go.hotw####.top/jzbdt/wvrgg/g/mdm
- go.hotw####.top/sdf/qh
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/app_2e283bb5-19b9-4762-9bfe-3ffa3041954f/checker.jar
- <Package Folder>/app_plugin_download/1c0fb504-187e-4599-9812-1342f58c1e2a
- <Package Folder>/app_plugin_download/a3a56757-fd77-44e1-a87d-c3b05610091f
- <Package Folder>/app_subox_download/4c2a1cc7-e0e9-415b-8124-060c1c2c8e8f
- <Package Folder>/app_subox_download/755d1e56-4a26-4be0-be39-bd0f9e25c2c6
- <Package Folder>/databases/google_analytics_v2.db-journal
- <Package Folder>/databases/t_u.db-journal
- <Package Folder>/files/gaClientId
- <Package Folder>/files/lf.jar
- <Package Folder>/files/qc.jar
- <Package Folder>/files/uc.jar
- <Package Folder>/shared_prefs/<Package>.appirater2.xml
- <Package Folder>/shared_prefs/bastion_kv.xml
- <Package Folder>/shared_prefs/kr.xml
- <Package Folder>/shared_prefs/kr.xml.bak
- <Package Folder>/shared_prefs/qsb.xml
- <Package Folder>/shared_prefs/sfe.xml
- <Package Folder>/shared_prefs/sfe.xml.bak
- <Package Folder>/shared_prefs/subox.xml
- <Package Folder>/shared_prefs/wv.xml
- <Package Folder>/shared_prefs/wv.xml.bak
- <SD-Card>/Android/####/716764666c9da8b24b3b4aeee6a29cbe.apk
- <SD-Card>/Android/####/V2.8.3.txt
- <SD-Card>/Android/####/a8ec50a423ce2
- <SD-Card>/Android/####/b.tmp
Другие:
Запускает следующие shell-скрипты:
- chmod 777 /storage/emulated/0/Android/data/<Package>/files/Download/Android/azb/716764666c9da8b24b3b4aeee6a29cbe.apk
Загружает динамические библиотеки:
- _avd253
- sketch-library
Использует следующие алгоритмы для шифрования данных:
- AES-ECB-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
- DES
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
