Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.589.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 52.52.2####.56:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) pwe.3####.top:80
- TCP(HTTP/1.1) cdn.app.kac####.####.com:80
- TCP(HTTP/1.1) 1####.76.224.67:80
- TCP(HTTP/1.1) s####.uni####.com:80
- TCP(HTTP/1.1) cdn.game####.org:80
Запросы DNS:
- a####.u####.com
- cdn.app.kac####.cn
- cdn.game####.org
- pwe.3####.top
- s####.uni####.com
Запросы HTTP GET:
- cdn.app.kac####.####.com/sfile/201805/09/all/cp_V2.7.8.txt
- cdn.game####.org/strategy/base
- cdn.game####.org/strategy/dev_root2
- cdn.game####.org/strategy/larger4.3
- cdn.game####.org/strategy/loss_4.3
- cdn.game####.org/strategy/sul18
Запросы HTTP POST:
- a####.u####.com/app_logs
- pwe.3####.top/jzbdt/a/wq/osal
- pwe.3####.top/jzbdt/a/ykpg
- pwe.3####.top/jzbdt/bgoy/uz
- pwe.3####.top/jzbdt/iqvwa/xpzsk
- pwe.3####.top/jzbdt/lhagk/ukecg
- pwe.3####.top/jzbdt/m/ke
- pwe.3####.top/jzbdt/ms/pbjy/xnsya
- pwe.3####.top/jzbdt/xrk/rz
- pwe.3####.top/jzbdt/zt/rafi/em
- pwe.3####.top/sdf/gjisr
- s####.uni####.com/HWStats.cgi
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/1740c449fc10be62df60ba0f18696c9f
- /data/data/####/1abace13-2447-4541-891c-673f5d6d93c2
- /data/data/####/234821db-8cf9-4a5a-83aa-f193fe7ef001
- /data/data/####/32edd79a240b5f1e461d069caab1ec3e
- /data/data/####/610925fe-7468-4c15-9599-164fbbc57d0a
- /data/data/####/7e1e001b-072f-4c42-91ca-68ba57bc67c1
- /data/data/####/8e3633d7-a84c-4072-aa9b-cb367818b59a
- /data/data/####/Matrix
- /data/data/####/SUBOXLOG_
- /data/data/####/b0141e478b25af7c40a8cca8de6c4708
- /data/data/####/checker.jar
- /data/data/####/cj.jar
- /data/data/####/com.winig.farming3dfree.xml
- /data/data/####/da3bbea1-275d-46c6-a4ed-fc0bb4470b1c
- /data/data/####/ddexe
- /data/data/####/debuggerd
- /data/data/####/device.db
- /data/data/####/dsi.xml
- /data/data/####/exchangeIdentity.json
- /data/data/####/f347afb4-8705-41d7-bc5b-204563dc7ed5
- /data/data/####/fileWork
- /data/data/####/install-recovery.sh
- /data/data/####/kr.xml
- /data/data/####/pidof
- /data/data/####/root3
- /data/data/####/sfe.xml
- /data/data/####/su
- /data/data/####/subox.xml
- /data/data/####/supolicy
- /data/data/####/t_u.db-journal
- /data/data/####/toolbox
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/vh.jar
- /data/data/####/wsroot.sh
- /data/data/####/wv.xml
- /data/data/####/yf.jar
- /data/media/####/V2.7.8.txt
Другие:
Запускает следующие shell-скрипты:
- chmod 777 Matrix ddexe debuggerd device.db fileWork install-recovery.sh pidof root3 su supolicy toolbox wsroot.sh
- chmod 777 Matrix ddexe debuggerd fileWork install-recovery.sh pidof su supolicy toolbox wsroot.sh
- sh
Загружает динамические библиотеки:
- _mj491
- main
Использует следующие алгоритмы для расшифровки данных:
- DES
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
