Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Click.234
- Android.RemoteCode.88.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) www.cu####.com:80
- TCP(HTTP/1.1) www.zfr####.com:80
Запросы DNS:
- www.cu####.com
- www.zfr####.com
Запросы HTTP GET:
- www.cu####.com/20180309142740.ExpDex_D999_5.6.2_201803091426.zip
Запросы HTTP POST:
- www.zfr####.com/up.do
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/backw
- <Package Folder>/files/d.zip
- <Package Folder>/files/dtemp.apk
- <Package Folder>/files/ob3.zip
- <Package Folder>/shared_prefs/cn_rs.xml
- <Package Folder>/shared_prefs/m_cfg.xml
- <Package Folder>/shared_prefs/t_ini.xml
- <SD-Card>/Android/####/pid
Другие:
Запускает следующие shell-скрипты:
- app_process /system/bin com.android.commands.am.Am startservice --user 0 -n <Package>/com.ok.sdf.MainService
- chmod 777 <Package Folder>/backw
- dd if=<Package Folder>/lib/libbackw.so of=<Package Folder>/backw
- sh
Загружает динамические библиотеки:
- backw
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
