Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.MobiDash.16.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ip####.com:80
- TCP(HTTP/1.1) ya####.online:80
- TCP(TLS/1.0) lh6.googleu####.com:443
- TCP(TLS/1.0) www.google-####.com:443
- TCP(TLS/1.0) e.crashly####.com:443
- TCP(TLS/1.0) f####.gst####.com:443
- TCP(TLS/1.0) f####.google####.com:443
- TCP(TLS/1.0) p####.go####.com:443
- TCP(TLS/1.0) tpc.googles####.com:443
- TCP(TLS/1.0) rep####.crashly####.com:443
- TCP(TLS/1.0) sett####.crashly####.com:443
- TCP(TLS/1.0) inputst####.link:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) s####.go####.com:443
- TCP(TLS/1.0) ioexcep####.in:443
- TCP(TLS/1.0) googl####.g.doublec####.net:443
- TCP(TLS/1.0) pag####.googles####.com:443
- TCP(TLS/1.0) a####.go####.com:443
- TCP(TLS/1.0) and####.cli####.go####.com:443
Запросы DNS:
- a####.go####.com
- and####.cli####.go####.com
- e.crashly####.com
- f####.google####.com
- f####.gst####.com
- googl####.g.doublec####.net
- inputst####.link
- ioexcep####.in
- ip####.com
- lh3.googleu####.com
- lh6.googleu####.com
- p####.go####.com
- pag####.googles####.com
- rep####.crashly####.com
- s####.go####.com
- sett####.crashly####.com
- ssl.gst####.com
- tpc.googles####.com
- www.google-####.com
- www.gst####.com
- ya####.online
Запросы HTTP GET:
- ip####.com/json
Запросы HTTP POST:
- ya####.online/
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- /data/data/####/-1380980549446011756
- /data/data/####/-1866761722-1847360301
- /data/data/####/-515249652-975763097
- /data/data/####/1496809943795.jar
- /data/data/####/1496809943795.tmp
- /data/data/####/5B6BDF240216-0001-081F-A80E62EFC337.cls_temp
- /data/data/####/5B6BDF240216-0001-081F-A80E62EFC337BeginSession.cls_temp
- /data/data/####/5B6BDF240216-0001-081F-A80E62EFC337SessionApp.cls_temp
- /data/data/####/5B6BDF240216-0001-081F-A80E62EFC337SessionCrash.cls_temp
- /data/data/####/5B6BDF240216-0001-081F-A80E62EFC337SessionDevice.cls_temp
- /data/data/####/5B6BDF240216-0001-081F-A80E62EFC337SessionOS.cls_temp
- /data/data/####/5B6BDF240216-0001-081F-A80E62EFC337SessionUser.cls_temp
- /data/data/####/5B6BDF6B0351-0002-081F-A80E62EFC337BeginSession.cls_temp
- /data/data/####/5B6BDF6B0351-0002-081F-A80E62EFC337SessionApp.cls_temp
- /data/data/####/5B6BDF6B0351-0002-081F-A80E62EFC337SessionDevice.cls_temp
- /data/data/####/5B6BDF6B0351-0002-081F-A80E62EFC337SessionOS.cls_temp
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/TwitterAdvertisingInfoPreferences.xml
- /data/data/####/admob.xml
- /data/data/####/androdumpper.dat.jar
- /data/data/####/com.bigos.androdumpper_preferences.xml
- /data/data/####/com.bigos.androdumpper_preferences.xml.bak
- /data/data/####/com.crashlytics.prefs.xml
- /data/data/####/com.crashlytics.sdk.android;answers;settings.xml
- /data/data/####/com.crashlytics.settings.json
- /data/data/####/com.google.android.gms.appid-no-backup
- /data/data/####/com.google.android.gms.appid.xml
- /data/data/####/crash_marker
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/filesvendwps
- /data/data/####/genericexitnode.xml
- /data/data/####/google_ads_flags_meta.xml
- /data/data/####/https_googleads.g.doubleclick.net_0.localstorage-journal
- /data/data/####/index
- /data/data/####/initialization_marker
- /data/data/####/io.fabric.sdk.android;fabric;a.a.a.a.m.xml
- /data/data/####/multidex.version.xml
- /data/data/####/sa_2a19fb98-fa2e-411c-abe7-f0f06c5aec77_1533796132603.tap
- /data/data/####/sa_4a21ffb8-1870-47fd-8a5d-d5471d084bc6_1533796134424.tap
- /data/data/####/session_analytics.tap
- /data/data/####/session_analytics.tap.tmp
- /data/data/####/tamocosdk.xml
- /data/data/####/vnVJwVCgt
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh
- sh
- stat /sbin/busybox
- stat /sbin/su
- stat /system/bin/busybox
- stat /system/bin/su
- stat /system/sbin/busybox
- stat /system/sbin/su
- stat /system/xbin/busybox
- stat /system/xbin/su
- stat /vendor/bin/busybox
- stat /vendor/bin/su
- su
Загружает динамические библиотеки:
- native-lib
- vnVJwVCgt
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS5Padding
Использует повышенные привилегии.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об активных администраторах устройства.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
