Техническая информация
Вредоносные функции:
Скрывает свою иконку с экрана устройства.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) tretras####.com:80
- TCP(HTTP/1.1) api.k####.info:80
- TCP(HTTP/1.1) of####.joym####.mobi:80
- TCP(TLS/1.0) st####.doublec####.net:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) f####.gst####.com:443
- TCP(TLS/1.0) acco####.go####.com:443
- TCP(TLS/1.0) i.y####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) m.you####.com:443
- TCP(TLS/1.0) www.you####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) ssl.google-####.com:443
- TCP(TLS/1.0) googl####.g.doublec####.net:443
- TCP(TLS/1.0) yt3.g####.com:443
- TCP(TLS/1.0) clie####.go####.com:443
Запросы DNS:
- a####.u####.com
- acco####.go####.com
- api.k####.info
- clie####.go####.com
- f####.gst####.com
- googl####.g.doublec####.net
- i.y####.com
- m.you####.com
- of####.joym####.mobi
- snip####.com
- ssl.google-####.com
- st####.doublec####.net
- www.go####.com
- www.go####.nl
- www.gst####.com
- www.you####.com
- yt3.g####.com
Запросы HTTP GET:
- api.k####.info/v6/index.php?action=####&android=####&app_id=####&app_ver...
- of####.joym####.mobi/click/a=203&o=208158&click_id={click_id}
- tretras####.com/90X36/Fz5b/GTpL/QXYev7dQ4_2zqrfFDhgXC25HJLCRC4UKZ4Z0lBBi...
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/cache/####/data_0
- <Package Folder>/cache/####/data_1
- <Package Folder>/cache/####/data_2
- <Package Folder>/cache/####/data_3
- <Package Folder>/cache/####/f_000001
- <Package Folder>/cache/####/f_000002
- <Package Folder>/cache/####/f_000003
- <Package Folder>/cache/####/f_000004
- <Package Folder>/cache/####/f_000005
- <Package Folder>/cache/####/f_000006
- <Package Folder>/cache/####/f_000007
- <Package Folder>/cache/####/f_000008
- <Package Folder>/cache/####/f_000009
- <Package Folder>/cache/####/f_00000a
- <Package Folder>/cache/####/f_00000b
- <Package Folder>/cache/####/f_00000c
- <Package Folder>/cache/####/f_00000d
- <Package Folder>/cache/####/f_00000e
- <Package Folder>/cache/####/f_00000f
- <Package Folder>/cache/####/f_000010
- <Package Folder>/cache/####/f_000011
- <Package Folder>/cache/####/f_000012
- <Package Folder>/cache/####/f_000013
- <Package Folder>/cache/####/f_000014
- <Package Folder>/cache/####/f_000015
- <Package Folder>/cache/####/f_000016
- <Package Folder>/cache/####/f_000017
- <Package Folder>/cache/####/f_000018
- <Package Folder>/cache/####/f_000019
- <Package Folder>/cache/####/index
- <Package Folder>/databases/cc.db
- <Package Folder>/databases/cc.db-journal
- <Package Folder>/databases/google_analytics_v2.db-journal
- <Package Folder>/databases/ua.db
- <Package Folder>/databases/ua.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/databases/webviewCookiesChromium.db-journal
- <Package Folder>/databases/webviewCookiesChromium.db-journal (deleted)
- <Package Folder>/files/####/exchangeIdentity.json
- <Package Folder>/files/1.jar
- <Package Folder>/files/dog_x86
- <Package Folder>/files/exid.dat
- <Package Folder>/files/gaClientId
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/shared_prefs/pref_landlord.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml (deleted)
Другие:
Запускает следующие shell-скрипты:
- /system/bin/netcfg
- <Package Folder>/files/dog_x86 -ps <Package>/com.yu.yong.WorkerService -s com.yu.yong:worker_service
- app_process /system/bin com.android.commands.am.Am startservice --user 0 -n <Package>/com.yu.yong.WorkerService
- chattr +i /system/priv-app/<Package>.apk
- chmod 644 /system/priv-app/<Package>.apk
- chmod 755 <Package Folder>/files/dog_x86
- mount -o remount,rw /system
- sh -c echo ttta
- sh -c mount -o remount,rw /system; cat /data/app/<Package>-1.apk > /system/priv-app/<Package>.apk; chmod 644 /system/priv-app/<Package>.apk; chattr +i /system/priv-app/<Package>.apk;
- sh -c su -c ' echo ttta'
- sh -c su -c ' mount -o remount,rw /system; cat /data/app/<Package>-1.apk > /system/priv-app/<Package>.apk; chmod 644 /system/priv-app/<Package>.apk; chattr +i /system/priv-app/<Package>.apk; '
- su -c echo ttta
- su -c mount -o remount,rw /system; cat /data/app/<Package>-1.apk > /system/priv-app/<Package>.apk; chmod 644 /system/priv-app/<Package>.apk; chattr +i /system/priv-app/<Package>.apk;
Загружает динамические библиотеки:
- jackkai
Использует повышенные привилегии.
Использует права администратора.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Отрисовывает собственные окна поверх других приложений.
