Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.53.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) lh3.googleu####.com:80
- TCP(HTTP/1.1) ad.lanji####.com:80
- TCP(HTTP/1.1) www.ae-mo####.com:80
- TCP(TLS/1.0) lh3.googleu####.com:443
- TCP(TLS/1.0) lh4.g####.com:443
Запросы DNS:
- ad.lanji####.com
- lh3.g####.com
- lh3.googleu####.com
- lh4.g####.com
- lh5.g####.com
- lh6.g####.com
- www.ae-mo####.com
Запросы HTTP GET:
- lh3.googleu####.com/6satuI5OSCJThIMmHeXo8EHVNEY3kjWbwCpsuhLWWRAEP1lMqfGp...
- lh3.googleu####.com/TIhZC6AnwmbfZmAjFySE4DvcFu_-UPDe5_cLSnDCyHqzl-mKLCSU...
- lh3.googleu####.com/UG_tDigrmYec9R5yGo2q42bRnJEhOotxQj5vuNDE0_OxbOQKYDR5...
- lh3.googleu####.com/V9qZzngf3KQH0smg5HXMQLL2yVfPkw4F8XNndSICegY2mKZuxrWL...
- lh3.googleu####.com/foIlSwxJYG_MXZunrnnFa_VZReLtZNGex8EBGihTLgz99og_o70S...
- lh3.googleu####.com/ocqj9wbRI6s3L7OsbnauAuKUup27DgX-1LsoCDjFjyUfpIKfEVCn...
- lh3.googleu####.com/qVMl8XJfUXm8M-hA_dhxpC5dKeEmK7WsY1hvwhMjsr5csoXoHXef...
- lh3.googleu####.com/suQ-cBCfKUBdGc8vzCYLzSxnJT2tW5zkGeMY8ZO-dyyttJN4NEwB...
- lh3.googleu####.com/x5JldqEUMO8xqFcxBCyXX9jJYyEP_CqMgujIfl5Yp8DdyK8IRr49...
- lh3.googleu####.com/xjc6DBrhjyDNVFcEPgPWDQLb5EsUxwB1ehheSS4MslvcA8g7NGCE...
- lh3.googleu####.com/zyQEiL_BWWQ9gERutBCdXmnbZ9RKngZj477wX_WUelCr0MctTOBo...
- www.ae-mo####.com/moregames/
- www.ae-mo####.com/moregames/css/style.css
- www.ae-mo####.com/moregames/image/button.jpg
Запросы HTTP POST:
- ad.lanji####.com/lanjingke/iris.action?g=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.md5
- /data/data/####/.sec_version
- /data/data/####/L_Key.xml
- /data/data/####/classes.dex
- /data/data/####/classes.jar
- /data/data/####/com.bustbobo.game
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/f_00000b
- /data/data/####/f_00000c
- /data/data/####/f_00000d
- /data/data/####/f_00000e
- /data/data/####/f_00000f
- /data/data/####/f_000010
- /data/data/####/f_000011
- /data/data/####/f_000012
- /data/data/####/f_000013
- /data/data/####/f_000014
- /data/data/####/f_000015
- /data/data/####/f_000016
- /data/data/####/f_000017
- /data/data/####/f_000018
- /data/data/####/f_000019
- /data/data/####/f_00001a
- /data/data/####/f_00001b
- /data/data/####/f_00001c
- /data/data/####/f_00001d
- /data/data/####/f_00001e
- /data/data/####/f_00001f
- /data/data/####/f_000020
- /data/data/####/f_000021
- /data/data/####/f_000022
- /data/data/####/f_000023
- /data/data/####/f_000024
- /data/data/####/f_000025
- /data/data/####/f_000026
- /data/data/####/f_000027
- /data/data/####/f_000028
- /data/data/####/f_000029
- /data/data/####/f_00002a
- /data/data/####/f_00002b
- /data/data/####/f_00002c
- /data/data/####/f_00002d
- /data/data/####/f_00002e
- /data/data/####/f_00002f
- /data/data/####/f_000030
- /data/data/####/f_000031
- /data/data/####/f_000032
- /data/data/####/f_000033
- /data/data/####/index
- /data/data/####/libsecexe.x86.so
- /data/data/####/libsecmain.x86.so
- /data/data/####/ljk.xml
- /data/data/####/new_l_req_st.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/ljk.dat
- /data/media/####/reqt.dat
Другие:
Запускает следующие shell-скрипты:
- <Package> <Package> -1829208872 0 /data/app/<Package>-1.apk 41 <Package> 47 48
- chmod 755 <Package Folder>/.cache/<Package>
Загружает динамические библиотеки:
- libsecexe.x86
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о телефоне (номер, IMEI и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
