Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Xiny.243.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) na####.s####.1####.com:8111
- TCP(HTTP/1.1) f####.cdn.1####.com:80
Запросы DNS:
- a####.d####.1####.com
- a####.d####.1####.com
- f####.cdn.1####.com
Запросы HTTP GET:
- f####.cdn.1####.com/20180531210627-native_dl152t5
Запросы HTTP POST:
- na####.s####.1####.com:8111/native/api/v1/update
- na####.s####.1####.com:8111/native/sdk/api/regclient
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/1526454882077t.jar
- /data/data/####/1526454896562t.jar
- /data/data/####/1526454898227t.jar
- /data/data/####/1526454899554t.jar
- /data/data/####/1526454900739t.jar
- /data/data/####/1526454901857t.jar
- /data/data/####/1526454903037t.jar
- /data/data/####/1526454904195t.jar
- /data/data/####/1526454905294t.jar
- /data/data/####/1526454906334t.jar
- /data/data/####/1526454907383t.jar
- /data/data/####/1526454908570t.jar
- /data/data/####/1526454909760t.jar
- /data/data/####/ad_native_client_action_log.db
- /data/data/####/ad_native_client_action_log.db-journal
- /data/data/####/ah_nativ_pre.xml
- /data/data/####/androidnativ_com.adflash.test.xml
- /data/data/####/androidnativesdk_shell.jar
- /data/data/####/com.adflash.test_preferences.xml
- /data/data/####/kotlin_native_dl3.0.so
- /data/data/####/kotlin_native_dl3.0.so.tmp
- /data/data/####/t.zip
- /data/media/####/inapp_dev.txt
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
Использует следующие алгоритмы для шифрования данных:
- AES-ECB-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-ECB-PKCS5Padding
- DES
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Отрисовывает собственные окна поверх других приложений.
