Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.657.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) api.s####.mob.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(TLS/1.0) www.go####.com:443
Запросы DNS:
- a####.exc.mob.com
- a####.u####.com
- api.s####.mob.com
- d.ispser####.cc
- g.ispser####.cc
- gu####.id####.com
- www.go####.com
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- a####.u####.com/app_logs
- api.s####.mob.com/conf4
- api.s####.mob.com/conn
- api.s####.mob.com/data2
- api.s####.mob.com/log4
- api.s####.mob.com/snsconf
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/databases/ThrowalbeLog.db
- <Package Folder>/databases/ThrowalbeLog.db-journal
- <Package Folder>/databases/sharesdk.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/files/####/exchangeIdentity.json
- <Package Folder>/files/.imprint
- <Package Folder>/files/.lock
- <Package Folder>/files/android_resources.dat
- <Package Folder>/files/android_resources.jar
- <Package Folder>/files/libcuid.so
- <Package Folder>/files/libjiagu.so
- <Package Folder>/files/lotuseed.lock
- <Package Folder>/files/security.center
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/shared_prefs/__Baidu_Stat_SDK_SendRem.xml
- <Package Folder>/shared_prefs/android_service_global.xml
- <Package Folder>/shared_prefs/deviceID.xml
- <Package Folder>/shared_prefs/lotuseed_global.xml
- <Package Folder>/shared_prefs/mob_sdk_exception_1.xml
- <Package Folder>/shared_prefs/share_sdk_1.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/updateinfo.xml
- <SD-Card>/.android/android.s
- <SD-Card>/.system/lotuseed.devid
- <SD-Card>/Mob/####/.lock
- <SD-Card>/ShareSDK/.ba
- <SD-Card>/ShareSDK/.dk
- <SD-Card>/backups/####/.confd
- <SD-Card>/backups/####/.confd-journal
- <SD-Card>/backups/####/.cuid
- <SD-Card>/backups/####/.cuid2
- <SD-Card>/backups/####/.timestamp
- <SD-Card>/cqtFruit/####/journal
- <SD-Card>/cqtFruit/####/journal.tmp
Другие:
Запускает следующие shell-скрипты:
- chmod 744 <Package Folder>/files/security.center
- chmod 755 <Package Folder>/files/libjiagu.so
- df
- sh <Package Folder>/files/security.center com.android.service.core Q0P7o5Z8NdURdx6lZMW9 idafor360 1.3.4.3 ? M00:00:00:00:00:04I<IMEI> security.center
Загружает динамические библиотеки:
- android_resources
- crash_analysis
- libjiagu
- neh
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- AES-ECB-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
