Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.190.origin
Скрывает свою иконку с экрана устройства.
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- /system/app/<Package>
- /system/bin/.sudd
- /system/bin/clock_service
- /system/bin/su4100
- /system/etc/install-recovery.sh
- /system/lib/libwatch.so
- <Package Folder>/annotation.jar
- <Package Folder>/app_asset/about.png
- <Package Folder>/app_asset/droid.png
- <Package Folder>/app_asset/help.png
- <Package Folder>/app_asset/help2.png
- <Package Folder>/app_asset/help3.png
- <Package Folder>/app_asset/help4.png
- <Package Folder>/app_asset/id.txt
- <Package Folder>/app_asset/logo.png
- <Package Folder>/app_asset/splash
- <Package Folder>/app_bin/busybox_g1
- <Package Folder>/app_bin/help4.png
- <Package Folder>/app_bin/su
- <Package Folder>/app_bin/toor.sh
- <Package Folder>/app_bin/toor2.sh
- <Package Folder>/databases/config.db-journal
- <Package Folder>/files/about.png
- <Package Folder>/files/daemon.r
- <Package Folder>/files/daemon.sh
- <Package Folder>/files/help.png
- <Package Folder>/files/help2.png
- <Package Folder>/files/help3.png
- <Package Folder>/files/help4.png
- <Package Folder>/files/id.txt
- <Package Folder>/files/imei.tmp
- <Package Folder>/files/setting.prop
- <Package Folder>/files/sys1000.ini
- <Package Folder>/files/sys101.ini
- <Package Folder>/files/version.tmp
- <Package Folder>/shared_prefs/Parameter.xml
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh <Package Folder>/app_bin/busybox_g1 grep GoogleService
- /system/bin/sh <Package Folder>/app_bin/toor.sh
- /system/bin/sh <Package Folder>/files/daemon.sh
- app_process /system/bin com.android.commands.am.Am broadcast -a android.intent.action.START_GOOGLE_SERVICE
- app_process /system/bin com.android.commands.am.Am startservice -n <Package>/android.app.Application --user 0
- chmod
- chmod 666 /system/lib/libwatch.so
- chmod 6777 /system/app/<Package>
- chmod 700 <Package Folder>/files/about.png
- chmod 755 /system/bin/clock_service
- chmod 755 <Package Folder>/app_bin/busybox_g1
- chmod 755 <Package Folder>/files/daemon.sh
- chmod 777 <Package Folder>/files/about.png
- chmod 7777 /system/bin/.sudd
- chmod 7777 /system/bin/su4100
- dd if=/data/app-lib/<Package>-1/libwatch.so of=/system/lib/libwatch.so
- dd if=/data/app/<Package>-1.apk of=/system/app/<Package>
- getprop ro.build.version.release
- mount -o remount system /system
- mount -o remount,rw /system
- mv /system/app/<Package> /system/app/<Package>-1.apk
- ps
- rm -r /system/app/<Package>
- sh
- sh -c chmod 700 <Package Folder>/files/about.png
- sh -c chmod 755 <Package Folder>/app_bin/busybox_g1
- sh -c chmod 755 <Package Folder>/app_bin/busybox_g1;chmod 755 <Package Folder>/app_bin/toor.sh
- sh -c echo -n > <Package Folder>/files/daemon.r;chmod 755 <Package Folder>/files/daemon.sh;<Package Folder>/files/daemon.sh &
- su -c <Package Folder>/app_bin/toor.sh
Загружает динамические библиотеки:
- watch
Использует повышенные привилегии.
Осуществляет доступ к интерфейсам записи аудио/видео данных.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Осуществляет доступ к информации о входящих/исходящих звонках.
Осуществляет доступ к информации об отправленых/принятых смс.
