Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Xiny.233.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) offer####.online:80
- TCP(HTTP/1.1) chatur####.com:80
- TCP(HTTP/1.1) d.billyaf####.com:80
- TCP(HTTP/1.1) x####.juic####.com:80
- TCP(HTTP/1.1) ald####.com:80
- TCP(HTTP/1.1) www.mmmmmm####.com:80
- TCP(HTTP/1.1) r####.juic####.com:80
- TCP(HTTP/1.1) www.admobim####.com:80
- TCP(HTTP/1.1) cpgnrot####.com:80
- TCP(HTTP/1.1) b####.ly:80
- TCP(HTTP/1.1) 2####.177.13.68:8288
- TCP(TLS/1.0) www.google-####.com:443
- TCP(TLS/1.0) chatw####.st####.highweb####.com:443
- TCP(TLS/1.0) roomli####.st####.highweb####.com:443
- TCP(TLS/1.0) ssl-ccs####.highweb####.com:443
- TCP(TLS/1.0) smarto####.site:443
- TCP(TLS/1.0) chatur####.com:443
- TCP(TLS/1.0) m.chatur####.com:443
- TCP(TLS/1.0) c####.cloudf####.com:443
Запросы DNS:
- ald####.com
- b####.ly
- c####.cloudf####.com
- chatur####.com
- chatw####.st####.highweb####.com
- cpgnrot####.com
- d.billyaf####.com
- m.chatur####.com
- offer####.online
- r####.juic####.com
- roomli####.st####.highweb####.com
- smarto####.site
- ssl-ccs####.highweb####.com
- www.admobim####.com
- www.google-####.com
- www.mmmmmm####.com
- x####.juic####.com
Запросы HTTP GET:
- ald####.com/ck.php?line_item_id=####&cid=####&site=####&_uu=####
- r####.juic####.com/pu_uu.php?cb=####&uu=####
- x####.juic####.com/service_new.php?juicy_code=####&u=####
Запросы HTTP POST:
- www.mmmmmm####.com/osp/oaen_get.action?tasktype=####&imei=####&imsi=####...
- www.mmmmmm####.com/osp/oaen_reg.action
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/app_lib/libugpl.so
- <Package Folder>/cache/####/data_0
- <Package Folder>/cache/####/data_1
- <Package Folder>/cache/####/data_2
- <Package Folder>/cache/####/data_3
- <Package Folder>/cache/####/f_000001
- <Package Folder>/cache/####/f_000002
- <Package Folder>/cache/####/f_000003
- <Package Folder>/cache/####/f_000004
- <Package Folder>/cache/####/index
- <Package Folder>/databases/my.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/databases/webviewCookiesChromium.db-journal
- <Package Folder>/files/d.zip
- <Package Folder>/files/ob.zip
- <Package Folder>/shared_prefs/ActivatePreUtil.xml
- <Package Folder>/shared_prefs/BusinessPreUtil.xml
- <Package Folder>/shared_prefs/LoginPreUtil.xml
- <Package Folder>/shared_prefs/OfferPreUtil.xml
- <Package Folder>/shared_prefs/device_info.xml
- <Package Folder>/shared_prefs/hunter_config.xml
- <Package Folder>/shared_prefs/other_config.xml
- <Package Folder>/shared_prefs/service_config.xml
- <Package Folder>/shared_prefs/sp_config.xml
- <Package Folder>/shared_prefs/t_ini.xml
- <SD-Card>/Android/####/pid
- <SD-Card>/LogN/####/sp
Другие:
Запускает следующие shell-скрипты:
- app_process /system/bin com.android.commands.am.Am startservice --user 0 -n <Package>/com.sub.core.MainService
- chmod 777 <Package Folder>/ugpl
- dd if=<Package Folder>/lib/libugpl.so of=<Package Folder>/ugpl
- sh
Загружает динамические библиотеки:
- libugpl
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
