Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.613.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Перехватывает входящие смс и прекращает процесс их передачи обработчикам других приложений.
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.fb
- /data/data/####/.fb-journal
- /data/data/####/SP_REPLACE_CLASSLOADER_CLASS_NAME.xml
- /data/data/####/config50240.xml
- /data/data/####/jy_hot_sdk_config.xml
- /data/data/####/new_md.jar
- /data/data/####/onib_clz.jar
- /data/data/####/pay_plg.dex (deleted)
- /data/data/####/pay_plg.jar
- /data/data/####/pretw.xml
- /data/data/####/pz_sharedpre_cmreaderlogininfo.xml
- /data/data/####/up010363_66
- /data/data/####/up010363_66.jar
- /data/data/####/vmad.zqemts512.lrlq686.com.pay.db.DBHelper_smsp...ournal
- /data/data/####/vmad.zqemts512.lrlq686.xml
- /data/data/####/vmad.zqemts512.lrlq686.xml.bak
- /data/data/####/webview.db-journal
- /data/data/####/wochi_v4.db-journal
- /data/media/####/jypaysdk.apk
- /data/media/####/qshp_3003_2296.zip
- /data/media/####/tw
- /data/media/####/vmad.zqemts512.lrlq686_250026699187743_20180415_pay.log
Другие:
Запускает следующие shell-скрипты:
- cat /sys/block/mmcblk0/device/cid
Загружает динамические библиотеки:
- cocos2dcpp
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS5Padding
- DES
- DES-CBC-PKCS5Padding
Может автоматически отправлять СМС-сообщения.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
