Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Xiny.255.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) na####.s####.1####.com:8111
- TCP(HTTP/1.1) s####.has####.net:80
- TCP(HTTP/1.1) p####.h5.mob####.cn:80
- TCP(TLS/1.0) googl####.g.doublec####.net:443
- TCP(TLS/1.0) sub.s####.1####.com:7078
Запросы DNS:
- a####.has####.net
- a####.k####.a####.top
- adx.has####.net
- googl####.g.doublec####.net
- mt####.go####.com
- na####.sno####.1####.com
- p####.h5.mob####.cn
- s####.has####.net
Запросы HTTP GET:
- p####.h5.mob####.cn/js/statistics.js
Запросы HTTP POST:
- na####.s####.1####.com:8111/native/api/v1/init
- na####.s####.1####.com:8111/native/api/v1/update
- na####.s####.1####.com:8111/native/sdk/api/regclient
- s####.has####.net/ads-dsp/api/v2/adx?serviceid=####
- s####.has####.net/api/cfg/v1?serviceid=####
- s####.has####.net/api/v2/app?serviceid=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/1521499837408.jar
- /data/data/####/1521499837408.tmp
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/ad_native_client_action_log.db
- /data/data/####/ad_native_client_action_log.db-journal
- /data/data/####/admob.xml
- /data/data/####/ah_nativ_pre.xml
- /data/data/####/android.zip
- /data/data/####/batmobi_api_param_self_click_record.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/db_a.db-journal
- /data/data/####/db_s_af.db
- /data/data/####/db_s_af.db-journal
- /data/data/####/index
- /data/data/####/mobpark.com.HorizonDash_preferences.xml
- /data/data/####/nativesdk_download_prf.xml
- /data/data/####/nativss_shell.jar
- /data/data/####/pref_validate_placement_id.xml
- /data/data/####/ps.db-journal
- /data/data/####/s_sdk_pro_pref.xml
- /data/data/####/sharedpreferences_batmobi_settings.xml
- /data/data/####/sharedpreferences_batmobi_strategy_info.xml
- /data/data/####/sharedpreferences_batmobi_strategy_recordtime.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.nomedia
- /data/media/####/inapp_dev.txt
- /data/media/####/s_client.txt
- /data/media/####/s_imei.txt
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- DES
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Отрисовывает собственные окна поверх других приложений.
