Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Banker.246.origin
Скрывает свою иконку с экрана устройства.
Перехватывает входящие смс и прекращает процесс их передачи обработчикам других приложений.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) eart####.org:80
- TCP(HTTP/1.1) f####.google####.com:80
- TCP(HTTP/1.1) www.go####.com:80
- TCP(HTTP/1.1) www.webs####.nl:80
- TCP(HTTP/1.1) www.eart####.org:80
- TCP(HTTP/1.1) www.om####.nl:80
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) id.go####.com:443
- TCP(TLS/1.0) con####.face####.net:443
- TCP(TLS/1.0) trans####.google####.com:443
- TCP(TLS/1.0) 1####.217.17.142:443
- TCP(TLS/1.0) www.om####.nl:443
- TCP(TLS/1.0) www.eart####.org:443
- TCP(TLS/1.0) z-1.face####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) cdn.syndica####.t####.com:443
- TCP(TLS/1.0) plat####.twi####.com:443
- TCP(TLS/1.0) stat####.face####.com:443
- TCP(TLS/1.0) cs2-wa####.8####.e####.net:443
- TCP(TLS/1.0) www.face####.com:443
- TCP(TLS/1.0) www.youtube####.com:443
- TCP(TLS/1.0) encrypt####.gst####.com:443
- TCP(TLS/1.0) f####.google####.com:443
- TCP(TLS/1.0) syndica####.twi####.com:443
- TCP(TLS/1.0) ton.t####.com:443
- TCP(TLS/1.0) i.y####.com:443
- TCP(TLS/1.0) st####.xx.f####.net:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) adser####.go####.com:443
- TCP(TLS/1.0) use.typ####.ne####.####.net:443
Запросы DNS:
- abs.t####.com
- adser####.go####.com
- cdn.syndica####.t####.com
- con####.face####.net
- eart####.org
- encrypt####.gst####.com
- f####.google####.com
- f####.gst####.com
- i.y####.com
- id.go####.com
- p.typ####.net
- pbs.t####.com
- plat####.twi####.com
- s-v6exp####.me####.gst####.com
- s.y####.com
- ssl.gst####.com
- st####.xx.f####.net
- stat####.face####.com
- syndica####.twi####.com
- ton.t####.com
- trans####.go####.com
- trans####.google####.com
- use.typ####.net
- web.face####.com
- www.eart####.org
- www.face####.com
- www.go####.com
- www.go####.nl
- www.google-####.com
- www.gst####.com
- www.om####.nl
- www.webs####.nl
- www.youtube####.com
Запросы HTTP GET:
- eart####.org/wp-content/uploads/search-button.png
- f####.google####.com/css?family=####
- www.eart####.org/
- www.eart####.org/wp-content/themes/new edn/library/img/curve-bottom-sm.png
- www.eart####.org/wp-content/uploads/Wasington-Post-Earth-Day-2010-Mall-S...
- www.eart####.org/wp-content/uploads/instagram-icon.png
- www.go####.com/complete/search?hl=####&client=####&q=####
- www.om####.nl/dagvandeaarde/expo/aarde.jpg
- www.om####.nl/image/btn.gif
- www.om####.nl/image/omslag.gif
- www.om####.nl/image/zoz-pr.jpg
- www.webs####.nl/googledoodles/images/doodle_earth_day_2013.jpg
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/com.google.android.gms.appid-no-backup
- /data/data/####/com.google.android.gms.appid.xml
- /data/data/####/com.google.android.gms.measurement.prefs.xml
- /data/data/####/google_app_measurement_local.db
- /data/data/####/google_app_measurement_local.db-journal
- /data/data/####/xvcubavb.jar
Другие:
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
