Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.MobiDash.2.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) m.an####.com:80
- TCP(TLS/1.0) e.crashly####.com:443
- TCP(TLS/1.0) fbcdn-s####.akam####.net.####.net:443
- TCP(TLS/1.0) lh5.googleu####.com:443
- TCP(TLS/1.0) lh3.g####.com:443
- TCP(TLS/1.0) lh3.googleu####.com:443
- TCP(TLS/1.0) sett####.crashly####.com:443
- TCP(TLS/1.0) lh6.g####.com:443
- TCP(TLS/1.0) lh4.googleu####.com:443
- TCP(TLS/1.0) and####.cli####.go####.com:443
Запросы DNS:
- and####.cli####.go####.com
- e.crashly####.com
- fbcdn-s####.akam####.net
- lh3.g####.com
- lh3.googleu####.com
- lh4.googleu####.com
- lh5.googleu####.com
- lh6.g####.com
- lh6.googleu####.com
- m.an####.com
- sett####.crashly####.com
Запросы HTTP PUT:
- m.an####.com/adapi
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/app_app_apk/ramboosterpro.dat.jar
- <Package Folder>/cache/-1903026836
- <Package Folder>/cache/-417674040
- <Package Folder>/cache/1637616617
- <Package Folder>/cache/1975102861
- <Package Folder>/cache/265525805
- <Package Folder>/cache/324238293
- <Package Folder>/cache/495744141
- <Package Folder>/cache/588742943
- <Package Folder>/cache/824893802
- <Package Folder>/code_cache/####/MultiDex.lock
- <Package Folder>/code_cache/####/tmp-<Package>-1.apk.classes-14...88.zip
- <Package Folder>/databases/RAMBooster-journal
- <Package Folder>/databases/actionwidget.db-journal
- <Package Folder>/databases/mb.db-journal
- <Package Folder>/files/####/59FB1E5A0049-0001-0811-40C13F40B155...s_temp
- <Package Folder>/files/####/com.crashlytics.settings.json
- <Package Folder>/files/####/initialization_marker
- <Package Folder>/files/####/sa_888c5fe3-5cd1-4064-9c32-ab9bd9a1...63.tap
- <Package Folder>/files/####/sa_daf809ef-86cc-41fb-8b35-41040f0f...66.tap
- <Package Folder>/files/####/session_analytics.tap
- <Package Folder>/files/####/session_analytics.tap.tmp
- <Package Folder>/files/LFsjppCSt
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/shared_prefs/TwitterAdvertisingInfoPreferences.xml
- <Package Folder>/shared_prefs/com.crashlytics.prefs.xml
- <Package Folder>/shared_prefs/com.crashlytics.sdk.android;answe...gs.xml
- <Package Folder>/shared_prefs/io.fabric.sdk.android;fabric;a.a.a.a.m.xml
- <Package Folder>/shared_prefs/multidex.version.xml
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh
- app_process /system/bin com.android.commands.pm.Pm disable com.android.bluetooth
- id
- sh
- stat /data/local/bin/su
- stat /data/local/su
- stat /data/local/xbin/su
- stat /sbin/su
- stat /system/bin/failsafe/su
- stat /system/bin/su
- stat /system/xbin/su
- su
Загружает динамические библиотеки:
- LFsjppCSt
Использует повышенные привилегии.
Использует права администратора.
Осуществляет доступ к информации об активных администраторах устройства.
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
