Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Hidden.2378
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) cf.gdata####.net:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
Запросы DNS:
- and####.b####.qq.com
- b.mo####.net
- cf.gdata####.net
- mt####.go####.com
- rd.gdata####.net
Запросы HTTP POST:
- and####.b####.qq.com/rqd/async
- cf.gdata####.net/config/update
- cf.gdata####.net/dc/sync_adr
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/databases/bugly_db_legu-journal
- <Package Folder>/databases/dataeye_database_03C26C50970E25F6A0F...3B5.db
- <Package Folder>/databases/dataeye_database_03C26C50970E25F6A0F...ournal
- <Package Folder>/files/DEAB89CE10FEAA11
- <Package Folder>/files/l2d3302fb.jpd
- <Package Folder>/files/local_crash_lock
- <Package Folder>/files/security_info
- <Package Folder>/mix.dex
- <Package Folder>/shared_prefs/dc.03C26C50970E25F6A0F539E5A1B753...es.xml
- <Package Folder>/shared_prefs/local_storage.xml
- <Package Folder>/tx_shell/libshella-2.8.2.so
- <SD-Card>/.SystemService/####/2D7F07BB6125DEB407E92A22DC4AC550
- <SD-Card>/.SystemService/####/uid
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/tx_shell/libshella-2.8.2.so
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
- ls -l /sbin/su
- ls -l /system/bin/su
- ls -l /system/sbin/su
- ls -l /system/xbin/su
- ls -l /vendor/bin/su
Загружает динамические библиотеки:
- Bugly
- libshella-2.8.2
- nat-lib3537
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
