Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Dowgin.1.origin
- Android.MulDrop.18.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(TLS/1.0) and####.cli####.go####.com:443
- TCP pu1.ju####.com:9801
Запросы DNS:
- a####.u####.com
- and####.cli####.go####.com
- mt####.go####.com
- pu1.ju####.com
Запросы HTTP POST:
- a####.u####.com/app_logs
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.md5
- /data/data/####/.sec_version
- /data/data/####/adwords_bg.png
- /data/data/####/arrow_down.png
- /data/data/####/arrow_up.png
- /data/data/####/bottom_bg.png
- /data/data/####/bottom_btn_cache.png
- /data/data/####/bottom_btn_cancel.png
- /data/data/####/bottom_btn_install.png
- /data/data/####/btn_install.png
- /data/data/####/classes.dex
- /data/data/####/classes.jar
- /data/data/####/com.escape.feixiang
- /data/data/####/com.escape.feixiang.art
- /data/data/####/d_appsc_an
- /data/data/####/d_cloesbtn_top
- /data/data/####/d_shortcutad_bg
- /data/data/####/dati.xml
- /data/data/####/dydCfgPref.xml
- /data/data/####/dydTimePref.xml
- /data/data/####/dyd_push.xml
- /data/data/####/fconf_pre.xml
- /data/data/####/fsappInfo_pre.xml
- /data/data/####/fsconf_pre.xml
- /data/data/####/ghkn.dex
- /data/data/####/ghkn.zip
- /data/data/####/img_bg.png
- /data/data/####/item_btn.png
- /data/data/####/libsecexe.x86.so
- /data/data/####/libsecmain.x86.so
- /data/data/####/m_star.png
- /data/data/####/mobclick_agent_cached_com.escape.feixiang
- /data/data/####/mobclick_agent_state_com.escape.feixiang.xml
- /data/data/####/pcheck_n.png
- /data/data/####/pcheck_p.png
- /data/data/####/pop_back.png
- /data/data/####/pop_bottom_btn.png
- /data/data/####/pushapp.png
- /data/data/####/safe_icon.png
- /data/data/####/safe_line.png
- /data/data/####/sc_circle.png
- /data/data/####/tj_line.png
- /data/data/####/top_bg.png
- /data/media/####/log.txt
Другие:
Запускает следующие shell-скрипты:
- <Package> <Package> -1829389128 0 /data/app/<Package>-1.apk 39 <Package> 49 50
- <Package> <Package> -1829389128 0 /data/app/<Package>-1.apk 41 <Package> 49 50
- <Package> <Package> -1829389128 0 /data/app/<Package>-1.apk 41 <Package> 50 51
- <Package> <Package> -1830388552 0 /data/app/<Package>-1.apk 41 <Package> 49 50
- chmod 755 <Package Folder>/.cache/<Package>
- chmod 755 <Package Folder>/.cache/<Package>.art
Загружает динамические библиотеки:
- gdx
- libsecexe.x86
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
