Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.616.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) sd####.cm####.com:80
- TCP(HTTP/1.1) d####.sdkbal####.com:9050
- TCP(HTTP/1.1) wap.cm####.com:7758
- TCP(HTTP/1.1) 2####.245.1.154:8060
- TCP(HTTP/1.1) int.d####.s####.####.cn:80
- TCP(HTTP/1.1) 2####.245.1.198:8060
- TCP(HTTP/1.1) drm.cm####.com:80
- TCP(HTTP/1.1) 2####.111.8.140:8080
- TCP(HTTP/1.1) g####.g####.net:8080
Запросы DNS:
- d####.sdkbal####.com
- drm.cm####.com
- g####.g####.net
- int.d####.s####.####.cn
- s####.cmv####.cn
- sd####.cm####.com
- wap.cm####.com
Запросы HTTP GET:
- drm.cm####.com/egsb/startup/queryConfiguration?channelId=####&contentId=...
- int.d####.s####.####.cn/iplookup/iplookup.php?qq-pf-to=####
Запросы HTTP POST:
- d####.sdkbal####.com:9050/
- drm.cm####.com/egsb/thirdPay/queryThirdPayInfo
- g####.g####.net:8080/migusdk/tl/tcttl
- g####.g####.net:8080/migusdk/verification/checkSdkUpdate
- sd####.cm####.com/behaviorLogging/eventLogging/accept?
- wap.cm####.com:7758/normandie/QueryConfigPolicy
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/2077.dex
- <Package Folder>/2168.dex
- <Package Folder>/app_dex/qjmlc4vt.dex
- <Package Folder>/cache/2077.dex (deleted)
- <Package Folder>/cache/channel.xml
- <Package Folder>/cache/hbv0ww20.jar
- <Package Folder>/cache/qjmlc4vt.jar
- <Package Folder>/databases/sdk.db
- <Package Folder>/databases/sdk.db-journal
- <Package Folder>/files/####/libmiguED.so
- <Package Folder>/files/ED.ini
- <Package Folder>/files/MiguPay.Sdk30.Lib_12003047_430e4ccea9533...02.cod
- <Package Folder>/files/MiguPay.Sdk30.Lib_12003047_430e4ccea9533...02.dat
- <Package Folder>/files/libmgRun_05.22.09_00.so
- <Package Folder>/files/mgAS.dat
- <Package Folder>/files/mgSS.dat
- <Package Folder>/files/sdk_prefs
- <Package Folder>/shared_prefs/UM.xml
- <Package Folder>/shared_prefs/WXLX.xml
- <Package Folder>/shared_prefs/miguGameBillingRequestMonitor.xml
- <SD-Card>/Download/####/ShareData.txt
- <SD-Card>/Download/####/deviceId
- <SD-Card>/Download/####/sdk_prefs.txt
- <SD-Card>/cmgame/####/pushDB.txt
- <SD-Card>/cmgame/####/pushTime.txt
- <SD-Card>/cmgame/####/pushTotal.txt
Другие:
Запускает следующие shell-скрипты:
- ls -l /system/bin/su
Загружает динамические библиотеки:
- KDDIJF5s
- cocos2dcpp
- libmiguED
- megjb
- x80H6afO
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
