Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Mart.1.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/1.apk
- /data/data/####/MainJson.txt
- /data/data/####/SYSTEM_SETTING.xml
- /data/data/####/com.pushsdkdemo.xml
- /data/data/####/dexhostinjection.jar
- /data/data/####/libDaemonProcess.so
- /data/data/####/libDaemonProcess_arm32_22.so
- /data/data/####/libDaemonProcess_arm64_22.so
- /data/data/####/lockpid
- /data/data/####/pid
- /data/data/####/tempFile.xml
- /data/media/####/5supdate_4.apk
- /data/media/####/actiondown
- /data/media/####/actionsuk
- /data/media/####/mychannel
Другие:
Запускает следующие shell-скрипты:
- chmod 777 /storage/emulated/0/database/5supdate_4.apk
- chmod 777 /storage/emulated/0/database/actiondown
- chmod 777 /storage/emulated/0/database/actionsuk
- chmod 777 /storage/emulated/0/database/mychannel
- chmod 777 <Package Folder>/app_sdk.data
- chmod 777 <Package Folder>/app_sdk.data/1.apk
- chmod 777 <Package Folder>/app_sdk.data/MainJson.txt
- chmod 777 <Package Folder>/app_sdk.data/dexhostinjection.jar
- chmod 777 <Package Folder>/app_sdk.data/libDaemonProcess.so
- chmod 777 <Package Folder>/files/lockpid
- ps
- sh -c am startservice --user 0 -n <Package>/<Package>.liangdianban.MyDexService
Загружает динамические библиотеки:
- libDaemonProcess_arm32_22
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-NoPadding
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о запущенных приложениях.
Получает информацию о привязанных к устройству аккаунтах (Google, Facebook и т. д.).
Отрисовывает собственные окна поверх других приложений.
