Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.MobiDash.2.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) sy####.in-apps####.com:80
Запросы DNS:
- m####.go####.com
- sy####.in-apps####.com
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/app_app_apk/freedom.dat.jar
- <Package Folder>/app_outdex/freedom.dat.dex
- <Package Folder>/code_cache/####/<Package>-1.apk.classes2.dex
- <Package Folder>/code_cache/####/MultiDex.lock
- <Package Folder>/code_cache/####/tmp-<Package>-1.apk.classes452767905.zip
- <Package Folder>/files/kHoGsKCcB
- <Package Folder>/shared_prefs/multidex.version.xml
- <SD-Card>/freedom-1.8.4.apk
Другие:
Запускает следующие shell-скрипты:
- app_process /system/bin com.android.commands.pm.Pm install -r /storage/emulated/0/freedom-1.8.4.apk
- app_process /system/bin com.android.commands.pm.Pm uninstall -k <Package>
- df
- dmesg
- getprop
- id
- ifconfig rmnet0
- ifconfig wlan0
- logcat -d
- ls -l /etc/hosts
- ls -l /etc/security/cacerts/5773055e.0
- ls -l /system/framework
- ls -l <Package Folder>/files
- netstat
- ps
- sh
- su
- su -V
- su -v
- tail /etc/hosts
- uname -a
- uptime
- which iptables
- which su
Загружает динамические библиотеки:
- kHoGsKCcB
Использует повышенные привилегии.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о зарегистрированных на устройстве аккаунтах (Google, Facebook и тд.).
