Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Xiny.73.origin
Скрывает свою иконку с экрана устройства.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 45.79.1####.48:80
- TCP(HTTP/1.1) www.okyes####.com:8081
- TCP(HTTP/1.1) www.koapk####.com:8081
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) www.google-####.com:443
- TCP(TLS/1.0) r####.quick####.top:443
- TCP(TLS/1.0) adser####.go####.nl:443
- TCP(TLS/1.0) at.al####.com:443
- TCP(TLS/1.0) p4-gboy####.me####.gst####.com:443
- TCP(TLS/1.0) tpc.googles####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) im####.quick####.top:443
- TCP(TLS/1.0) im####.google####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) adser####.go####.com:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) s####.g.doublec####.net:443
- TCP(TLS/1.0) googl####.g.doublec####.net:443
- TCP(TLS/1.0) pag####.googles####.com:443
- TCP(TLS/1.0) p4-gboy####.ds.me####.####.com:443
Запросы DNS:
- adser####.go####.com
- adser####.go####.nl
- at.al####.com
- googl####.g.doublec####.net
- im####.google####.com
- im####.quick####.top
- p####.quick####.top
- p4-dpy5####.ds.me####.####.com
- p4-dpy5####.me####.gst####.com
- p4-dpy5####.v4.me####.####.com
- p4-gboy####.ds.me####.####.com
- p4-gboy####.me####.gst####.com
- p4-gboy####.v4.me####.####.com
- pag####.googles####.com
- r####.quick####.top
- s####.g.doublec####.net
- ssl.gst####.com
- tpc.googles####.com
- www.go####.com
- www.go####.nl
- www.google-####.com
- www.gst####.com
- www.koapk####.com
- www.okyes####.com
Запросы HTTP POST:
- www.koapk####.com:8081/sm/sr/rt/ry
- www.okyes####.com:8081/sdk/nsd.action?b=####
- www.okyes####.com:8081/sdk/nsd.action?b=####&ci=####&ct=####&re=####&sd=...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/20160121.xml
- /data/data/####/201806071750.apk
- /data/data/####/Q2hhbm5lbElES2V5MjAxNjEyMjcxODU3.xml
- /data/data/####/ag.xml
- /data/data/####/bdownloaders.db-journal
- /data/data/####/c201806071750.apk
- /data/data/####/duspf6030945.xml
- /data/data/####/swith1014.db-journal
- /data/media/####/759153601.jpg.tmp
- /data/media/####/test1528379621220
Другие:
Запускает следующие shell-скрипты:
- c201806071750.apk -c <Package>:troubles
- logcat -d -v time
- ps
- sh
Загружает динамические библиотеки:
- libcom.cranife.troubles
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
