Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.SmsBot.90.origin
Скрывает свою иконку с экрана устройства.
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.md5
- /data/data/####/.sec_version
- /data/data/####/classes.dex
- /data/data/####/classes.jar
- /data/data/####/com.split.phoneTe
- /data/data/####/com.split.phoneTe.art
- /data/data/####/config.db
- /data/data/####/config.db-journal
- /data/data/####/libsecexe.x86.so
- /data/data/####/libsecmain.x86.so
Другие:
Запускает следующие shell-скрипты:
- <Package> <Package> -1830622024 0 /data/app/<Package>-1.apk 39 <Package> 47 48
- <Package> <Package> -1831686984 0 /data/app/<Package>-1.apk 39 <Package> 48 49
- chmod 755 <Package Folder>/.cache/<Package>
- chmod 755 <Package Folder>/.cache/<Package>.art
Загружает динамические библиотеки:
- libsecexe.x86
- locSDK_2
- qianliyan
Использует права администратора.
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Осуществляет доступ к информации об активных администраторах устройства.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации о входящих/исходящих звонках.
Осуществляет доступ к информации об отправленых/принятых смс.
