Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.RemoteCode.88.origin
- Android.Xiny.197
- Android.Xiny.244.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) www.cu####.com:80
- TCP(HTTP/1.1) www.zfr####.com:80
Запросы DNS:
- www.cu####.com
- www.zfr####.com
Запросы HTTP GET:
- www.cu####.com/20180530155843.BdJar521Dex_05301557.zip
Запросы HTTP POST:
- www.zfr####.com/up.do
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/backw
- /data/data/####/cn_rs.xml
- /data/data/####/com.ort.kp_preferences.xml
- /data/data/####/d.zip
- /data/data/####/dtemp.apk
- /data/data/####/lib_v19n.dat
- /data/data/####/m_cfg.xml
- /data/data/####/mesosphere_v19n.jar
- /data/data/####/ob3.zip
- /data/data/####/t_ini.xml
- /data/media/####/pid
- /data/media/####/sp
Другие:
Запускает следующие shell-скрипты:
- app_process /system/bin com.android.commands.am.Am startservice --user 0 -n <Package>/com.zon.qoo.MS
- chmod 777 <Package Folder>/backw
- dd if=<Package Folder>/lib/libbackw.so of=<Package Folder>/backw
- sh
Загружает динамические библиотеки:
- backw
Использует следующие алгоритмы для шифрования данных:
- AES-ECB-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-ECB-PKCS5Padding
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Парсит информацию из смс сообщений.
