Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.76.origin
- Android.Xiny.78.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) googl####.g.doublec####.net:80
- TCP(HTTP/1.1) api.is.yuanf####.com:80
- TCP(TLS/1.0) googl####.g.doublec####.net:443
Запросы DNS:
- api.is.yuanf####.com
- googl####.g.doublec####.net
Запросы HTTP GET:
- googl####.g.doublec####.net/mads/static/sdk/native/sdk-core-v40.js
Запросы HTTP POST:
- api.is.yuanf####.com/is/info.jsp
- api.is.yuanf####.com/is/init.jsp
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/BridalShop
- /data/data/####/BridalShop.jar
- /data/data/####/BridalShop.jar (deleted)
- /data/data/####/BridalShop1.swf
- /data/data/####/ads-1274143168.jar
- /data/data/####/air.air.BridalShop.AIRSharedPref.xml
- /data/data/####/application.xml
- /data/data/####/curl-ca-bundle.crt
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/extension.xml
- /data/data/####/f_000001
- /data/data/####/http_googleads.g.doubleclick.net_0.localstorage-journal
- /data/data/####/index
- /data/data/####/javaTrustStore.tmp
- /data/data/####/library.swf
- /data/data/####/mappcfg.xml
- /data/data/####/mappcfg.xml.bak
- /data/data/####/p_cfgzs.xml
- /data/data/####/p_tfgvzy.xml
- /data/data/####/tair
- /data/data/####/wBridalShop.jar
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/adwords_bg
- /data/media/####/air.air.BridalShop.l
- /data/media/####/air.air.BridalShop.txt
- /data/media/####/arrow_down
- /data/media/####/arrow_up
- /data/media/####/bottom_bg
- /data/media/####/bottom_btn_cache
- /data/media/####/bottom_btn_cancel
- /data/media/####/bottom_btn_install
- /data/media/####/btn_install
- /data/media/####/d_appsc_an
- /data/media/####/d_cloesbtn_top
- /data/media/####/d_shortcutad_bg
- /data/media/####/img_bg
- /data/media/####/item_btn
- /data/media/####/m_star
- /data/media/####/pcheck_n
- /data/media/####/pcheck_p
- /data/media/####/pop_back
- /data/media/####/pop_bottom_btn
- /data/media/####/pushapp
- /data/media/####/safe_icon
- /data/media/####/safe_line
- /data/media/####/sc_circle
- /data/media/####/tj_line
- /data/media/####/top_bg
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /proc/cpuinfo
- /system/bin/cat /proc/meminfo
- /system/bin/cat /sys/devices/system/cpu/present
Загружает динамические библиотеки:
- libCore
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
