Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.21
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) lo####.du####.com:80
- TCP 43.2####.88.85:3009
- TCP 1####.121.49.84:3005
- UDP s.j####.cn:19000
Запросы DNS:
- a####.u####.com
- au.u####.co
- au.u####.com
- feed####.u####.com
- gy####.com
- lo####.du####.com
- s.j####.cn
Запросы HTTP GET:
- lo####.du####.com/phone/apiHeroes.php?serverName=####&sk=####&player####...
Запросы HTTP POST:
- a####.u####.com/app_logs
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.md5
- /data/data/####/.sec_version
- /data/data/####/afinal.db-journal
- /data/data/####/classes.dex
- /data/data/####/classes.jar
- /data/data/####/cn.jpush.serverconfig.xml
- /data/data/####/com.zbx.ct.app.lolbox
- /data/data/####/com.zbx.ct.app.lolbox_preferences.xml
- /data/data/####/data.xml
- /data/data/####/libsecexe.x86.so
- /data/data/####/mobclick_agent_header_com.zbx.ct.app.lolbox.xml
- /data/data/####/mobclick_agent_state_com.zbx.ct.app.lolbox.xml
- /data/data/####/msg_db
- /data/data/####/msg_db-journal
- /data/data/####/rep.db-journal
- /data/data/####/umeng_feedback_conversations.xml
- /data/media/####/-1170619249
- /data/media/####/-1239163412
- /data/media/####/-1342713946
- /data/media/####/-1581216655
- /data/media/####/-1673617886
- /data/media/####/-1832989819
- /data/media/####/-1855166108
- /data/media/####/-1931338930
- /data/media/####/-1978217035
- /data/media/####/-2049665462
- /data/media/####/-240101143
- /data/media/####/-255264511
- /data/media/####/-291190256
- /data/media/####/-294997005
- /data/media/####/-347947007
- /data/media/####/-403465584
- /data/media/####/-412531721
- /data/media/####/-421647431
- /data/media/####/-460594671
- /data/media/####/-475089837
- /data/media/####/-502325017
- /data/media/####/-555438250
- /data/media/####/-571031553
- /data/media/####/-584570841
- /data/media/####/-589709620
- /data/media/####/-716175513
- /data/media/####/-870730389
- /data/media/####/-957487435
- /data/media/####/.nomedia
- /data/media/####/1100269032
- /data/media/####/1207004677
- /data/media/####/1221970500
- /data/media/####/1222741834
- /data/media/####/1310502201
- /data/media/####/1322302043
- /data/media/####/1438539437
- /data/media/####/1476578761
- /data/media/####/1529315362
- /data/media/####/153609085
- /data/media/####/1663923162
- /data/media/####/1759149768
- /data/media/####/1759684545
- /data/media/####/1765043509
- /data/media/####/1846117116
- /data/media/####/1908736515
- /data/media/####/1931866461
- /data/media/####/1932488678
- /data/media/####/2010249940
- /data/media/####/2027676645
- /data/media/####/2051418921
- /data/media/####/276798872
- /data/media/####/616005832
- /data/media/####/878248146
- /data/media/####/987011987
- /data/media/####/994813864
Другие:
Запускает следующие shell-скрипты:
- <Package> <Package> -1829540648 0 /data/app/<Package>-1.apk 41 <Package> 47 48
- chmod 755 <Package Folder>/.cache/<Package>
Загружает динамические библиотеки:
- bspatch
- libsecexe.x86
- sys
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
