Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.308.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) www.wsfpei####.com:80
- TCP(HTTP/1.1) MY####.huita####.com:10091
- TCP(HTTP/1.1) www.mas####.com:7006
- TCP(HTTP/1.1) 1####.175.181.49:9000
Запросы DNS:
- MY####.huita####.com
- dsa####.quanli####.com
- www.mas####.com
- www.wsfpei####.com
Запросы HTTP GET:
- www.wsfpei####.com/hui_cdn_config.json
Запросы HTTP POST:
- MY####.huita####.com:10091/wisdom/marking
- www.mas####.com:7006/ad_server/get_seed
- www.mas####.com:7006/ad_server/upload_device
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/com.example.laji922_preferences.xml
- /data/data/####/gameid
- /data/data/####/gameid.zip
- /data/data/####/journal.tmp
- /data/data/####/libcsmk.so
- /data/data/####/libcsmk.so-32
- /data/data/####/libcsmk.so-64
- /data/data/####/mgaxoqpu.jar
- /data/data/####/nane.png
- /data/data/####/spdsj.xml
- /data/data/####/yd_config_c.xml
- /data/media/####/.file_uxpak
Другие:
Запускает следующие shell-скрипты:
- cat /proc/version
- cat /sys/class/net/wlan0/address
- getprop
- getprop ro.board.platform
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- libcsmk
Использует следующие алгоритмы для шифрования данных:
- AES
- DES
Использует следующие алгоритмы для расшифровки данных:
- AES
- DES
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
