Техническая информация
Вредоносные функции:
Скрывает свою иконку с экрана.
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 47.1####.3.238:8089
- TCP(HTTP/1.1) w####.ip.cn:80
- TCP(TLS/1.0) api.map.b####.com:443
- TCP(TLS/1.0) loc.map.b####.com:443
Запросы DNS:
- api.map.b####.com
- loc.map.b####.com
- w####.ip.cn
- www.b####.com
- www.d051b8b####.com
Запросы HTTP GET:
- w####.ip.cn/
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/authStatus_com.android.cloudwork;remote.xml
- /data/data/####/base.jar
- /data/data/####/content.zip
- /data/data/####/daemon
- /data/data/####/data
- /data/data/####/dso
- /data/data/####/firll.dat
- /data/data/####/hst.db
- /data/data/####/hst.db-journal
- /data/data/####/libcuid.so
- /data/data/####/libmina.so
- /data/data/####/libmmcrypto.so
- /data/data/####/pm.jar
- /data/data/####/preference.xml
- /data/data/####/preferences.xml
- /data/data/####/protect
- /data/data/####/sux
- /data/data/####/x
- /data/data/####/y
- /data/media/####/.cuid2
- /data/media/####/WeixinMsg.json
- /data/media/####/WeixinMsg.json (deleted)
- /data/media/####/a.txt
- /data/media/####/appinfo.json
- /data/media/####/appinfo.json (deleted)
- /data/media/####/calendar.json
- /data/media/####/calendar.json (deleted)
- /data/media/####/callhistory.json
- /data/media/####/callhistory.json (deleted)
- /data/media/####/contact.json
- /data/media/####/contact.json (deleted)
- /data/media/####/sms.json
- /data/media/####/sms.json (deleted)
- /data/media/####/yoh.dat
- /data/media/####/yol.dat
- /data/media/####/yom.dat
Другие:
Запускает следующие shell-скрипты:
- chmod 700 <Package Folder>/app_bin/daemon
- id
- mars_d -p <Package> -s <Package>.service.Service2 -p1r 45 -p1w 46 -p2r 47 -p2w 48
- ps
- sh -c <Package Folder>/files/sux <Package> weixin <IMEI> /storage/emulated/legacy/data/tmp 00
- sh -c cat /proc/self/cgroup
- sh -c su -c '<Package Folder>/files/sux <Package> rapk /storage/emulated/legacy/data/tmp 00'
- sh -c su -c '<Package Folder>/files/sux <Package> weixin <IMEI> /storage/emulated/legacy/data/tmp 00'
- su -c <Package Folder>/files/sux <Package> rapk /storage/emulated/legacy/data/tmp 00
- su -c <Package Folder>/files/sux <Package> weixin <IMEI> /storage/emulated/legacy/data/tmp 00
- su -c id
Загружает динамические библиотеки:
- check
- daemon_api20
- libmina
- locSDK7b
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Использует повышенные привилегии.
Осуществляет доступ к интерфейсам записи аудио/видео.
Записывает аудио/видео.
Осуществляет доступ к интерфейсу камеры.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Получает информацию о входящих/исходящих звонках.
Получает информацию об отправленых/принятых SMS.
