Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Hmad.1.origin
- Android.Hmad.2
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) exp.walle####.com:9090
- TCP(HTTP/1.1) a####.w####.in:9090
- TCP(HTTP/1.1) 52.76.1####.104:80
- TCP(HTTP/1.1) s####.blu####.asia:80
Запросы DNS:
- a####.u####.com
- a####.w####.in
- e####.7####.com
- e####.h####.com
- e####.h####.com
- ecup####.h####.com
- epup####.h####.com
- exp.walle####.com
- f####.guan####.com
- gaand####.talking####.net
- hgup####.e####.com
- hgup####.h####.com
- p####.h####.com
- s####.blu####.asia
- ve####.ip####.com
Запросы HTTP GET:
- a####.w####.in:9090/wapbill/dom.jsp?imsi=####&subid=####&qdid=####&pid=#...
- exp.walle####.com:9090/sdkcp/push_msgcp_new.jsp?Imsi=####&Imei=####&cpid...
- exp.walle####.com:9090/sdkcp/sale_static_newcp.jsp?Subid=####&cpid=####&...
- exp.walle####.com:9090/sdkcp/user_visit_appcp.jsp?Subid=####&cpid=####&P...
- exp.walle####.com:9090/wapbill/Bsign.jsp?imsi=####&imei=####&cpid=####&s...
- s####.blu####.asia/?promotionId=####&lan=####&v=####&imsi=####&productid...
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.lib/libexec.so
- <Package Folder>/.lib/libexecmain.so
- <Package Folder>/app_jc/dfp.jar
- <Package Folder>/app_jc/dfx.jar
- <Package Folder>/app_jc/tfp.jar
- <Package Folder>/app_jc/tfx.jar
- <Package Folder>/as/cs.zip
- <Package Folder>/databases/bluepay.db
- <Package Folder>/databases/bluepay.db-journal
- <Package Folder>/databases/fp.db-journal
- <Package Folder>/databases/fpdown.db-journal
- <Package Folder>/databases/fx_kit_unlock-journal
- <Package Folder>/databases/fxlock.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/####/exchangeIdentity.json
- <Package Folder>/files/jmtInstallation
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/shared_prefs/3cff577985556567209c8fa8131303f63...le.xml
- <Package Folder>/shared_prefs/BluePay.xml
- <Package Folder>/shared_prefs/flowapp_shared.xml.xml
- <Package Folder>/shared_prefs/fpksp.xml
- <Package Folder>/shared_prefs/fpssp.xml
- <Package Folder>/shared_prefs/fxkit.xml
- <Package Folder>/shared_prefs/fxssp.xml
- <Package Folder>/shared_prefs/myActivityName.xml
- <Package Folder>/shared_prefs/pref_file.xml
- <Package Folder>/shared_prefs/pushSP.xml
- <Package Folder>/shared_prefs/td_pefercen_profile.xml
- <Package Folder>/shared_prefs/tdid.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <SD-Card>/.tcookieid
- <SD-Card>/Android/####/.UUID
- <SD-Card>/Android/####/.nomedia
- <SD-Card>/Android/####/crash-2017-11-16-12-34-05-1510835645730.log
Другие:
Запускает следующие shell-скрипты:
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- game
- libexec
- libexecmain
- skin
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о зарегистрированных на устройстве аккаунтах (Google, Facebook и тд.).
Отрисовывает собственные окна поверх других приложений.
