Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.652.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) api.devel####.xi####.com:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(TLS/1.0) www.paypalo####.com.####.net:443
- TCP(TLS/1.0) cms.pa####.com.####.net:443
- TCP(TLS/1.0) n####.ensig####.com:443
- TCP(TLS/1.0) wild####.a####.net.####.net:443
- TCP(TLS/1.0) www.pa####.com.####.net:443
- TCP pya.jy####.com:7701
- TCP so3.yo####.com:7703
- TCP pya.jy####.com:7801
- TCP pyc.jy####.com:7803
- TCP pya.jy####.com:7702
- TCP pya.jy####.com:7802
Запросы DNS:
- a####.a####.net
- a####.u####.com
- api.devel####.xi####.com
- cms.pa####.com
- n####.ensig####.com
- oc.u####.com
- pya.jy####.com
- pyb.jy####.com
- pyc.jy####.com
- ru.dn####.com
- so1.yo####.com
- so2.yo####.com
- so3.yo####.com
- t.pa####.com
- www.pa####.com
- www.paypalo####.com
Запросы HTTP POST:
- a####.u####.com/app_logs
- api.devel####.xi####.com/autoupdate/updateself
- oc.u####.com/check_config_update
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.md5
- /data/data/####/.sec_version
- /data/data/####/classes.dex
- /data/data/####/classes.jar
- /data/data/####/com.fly.rain
- /data/data/####/com.fly.rain.art
- /data/data/####/com.gracecode.android.rain.serivce.PlayService.xml
- /data/data/####/com.gracecode.android.rain.ui.MainActivity.xml
- /data/data/####/com.gracecode.android.rain.ui.fragment.FrontPan...nt.xml
- /data/data/####/mobclick_agent_cached_com.fly.rain1
- /data/data/####/mobclick_agent_online_setting_com.fly.rain.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/yo_conf_pre.xml
- /data/data/####/yoo_fsappnfo_pre.xml
- /data/data/####/yoo_fsconf_pre.xml
- /data/data/####/yoo_fstrategy_pre.xml
- /data/data/####/yoo_p_download.db
- /data/data/####/yoo_p_download.db-journal
- /data/data/####/yoo_r_common_pre.xml
- /data/data/####/yoo_s_download.db
- /data/data/####/yoo_s_download.db-journal
Другие:
Запускает следующие shell-скрипты:
- <Package> <Package> -1830503240 0 /data/app/<Package>-1.apk 39 <Package> 50 51
- chmod 755 <Package Folder>/.cache/<Package>
- chmod 755 <Package Folder>/.cache/<Package>.art
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- libsecexe.x86
- sdk_patcher_jni
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
