Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.2018
- Android.Triada.373.origin
- Android.Triada.417.origin
- Android.Triada.440.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/086fdc96bf353e4ce0fc42f642b00477.log
- /data/data/####/086fdc96bf353e4ce0fc42f642b00477.log.temp
- /data/data/####/627e9de29964a22e3d2e0b76e11b603e
- /data/data/####/6xXX6PoiXH7WVy7F
- /data/data/####/777.txt
- /data/data/####/77xMZ0QIZF5eNfTDwPqAmQ==.new
- /data/data/####/8gvZ58LiFZB1Uv0s4zCD4zLOcnA=.new
- /data/data/####/Amigo_Account_default.db3-journal
- /data/data/####/Cgz_A8DRaOWgmL8mYlQbDw==.new
- /data/data/####/CvMmJ_p912QZ8noHVvyBVxPvkuQ=
- /data/data/####/DdoUjfyw1LBlGUZ3RnzgHYaNpBMrDQh13rIRNw==_6mnA0b...ournal
- /data/data/####/GNAccount.xml
- /data/data/####/HsPlIdFvq3ZvVDbo0sFoPg==
- /data/data/####/NzB-S-TKfsS7FmpXsFxSOw==
- /data/data/####/OutsidePlugin_UR.jar
- /data/data/####/Q9B9Vxf92TDNUXp-5cZ--Yywc2c=.new
- /data/data/####/SDK1205_dex.jar
- /data/data/####/Sob5Up0cAzRkQKiYtpHvhA==.new
- /data/data/####/VpsSdk.jar
- /data/data/####/_1v-VPXU1ha_4O-KVWqJGbD4ut2MILMU.new
- /data/data/####/bc7afa479c79a1f53c2d366bf1cb3fcf.xml
- /data/data/####/cBAdehpTDR6U3xXkaJgJWFVbOlPjhKhB.new
- /data/data/####/com.game.mf.jssc.jinli_preferences.xml
- /data/data/####/copy_alicode_update.jar
- /data/data/####/cp.properties
- /data/data/####/exchangeIdentity.json
- /data/data/####/fe54904324c79b948458f4ecf716f581.log.temp
- /data/data/####/gameGift.xml
- /data/data/####/gameInfo.xml
- /data/data/####/game_list_data.xml
- /data/data/####/game_service_pref.xml
- /data/data/####/gameid
- /data/data/####/gameid.zip
- /data/data/####/getprop
- /data/data/####/hudaug_f.zip
- /data/data/####/libdinfo.so
- /data/data/####/libmljk.so
- /data/data/####/libmljk.so-32
- /data/data/####/libmljk.so-64
- /data/data/####/libzxvps_32_.so
- /data/data/####/libzxvps_64_.so
- /data/data/####/peqacwxo.jar
- /data/data/####/playerData
- /data/data/####/proxy.db-journal
- /data/data/####/qiangang_sdk_update_c.jar
- /data/data/####/qy_db_pay
- /data/data/####/qy_db_pay-journal
- /data/data/####/rdata_comikmnowjhdr.new
- /data/data/####/rlz2toZm_CiMtj8k.zip
- /data/data/####/runner_info.prop.new
- /data/data/####/so.config
- /data/data/####/statistics.db-journal
- /data/data/####/top.zip
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/unknown.xml
- /data/data/####/video_ad_sdk_update.jar
- /data/data/####/web_page_sdk_update.jar
- /data/data/####/yd_config_c.xml
- /data/media/####/.cfg
- /data/media/####/.ggnr
- /data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
- /data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
- /data/media/####/device
- /data/media/####/gntemp_gnDownloadApp_com.gionee.gspuserflag4.0.6.q.apk
- /data/media/####/vauid
Другие:
Запускает следующие shell-скрипты:
- cat /proc/version
- cat /sys/block/mmcblk0/device/cid
- cat /sys/class/net/wlan0/address
- df
- getprop
- getprop ro.board.platform
- getprop ro.product.cpu.abi
- ls -l /system/bin/su
Загружает динамические библиотеки:
- libdinfo
- libmljk
- libzxvps_32_
- megjb
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- DES
- DES-ECB-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- DES
- DES-ECB-NoPadding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
