Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.53.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ad.lanji####.com:80
Запросы DNS:
- ad.lanji####.com
- t####.ma####.asia
Запросы HTTP POST:
- ad.lanji####.com/lanjingke/iris.action?g=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.md5
- /data/data/####/.sec_version
- /data/data/####/DARK_OPTION
- /data/data/####/DARK_SYSTEM
- /data/data/####/L_Key.xml
- /data/data/####/Media_0
- /data/data/####/PodgateForAndroid.xml
- /data/data/####/classes.dex
- /data/data/####/classes.jar
- /data/data/####/com.gerencaoj.game
- /data/data/####/libsecexe.x86.so
- /data/data/####/libsecmain.x86.so
- /data/data/####/ljk.xml
- /data/data/####/lzma
- /data/data/####/new_l_req_st.xml
- /data/media/####/ljk.dat
- /data/media/####/reqt.dat
Другие:
Запускает следующие shell-скрипты:
- <Package> <Package> -1829139240 0 /data/app/<Package>-1.apk 41 <Package> 45 47
- chmod 755 <Package Folder>/.cache/<Package>
Загружает динамические библиотеки:
- Launcher
- libsecexe.x86
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5PADDING
- AES-ECB-PKCS5PADDING
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о телефоне (номер, IMEI и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
