Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Backdoor.640.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) sdk.91a####.com:80
- TCP(HTTP/1.1) pi####.qq.com:80
- TCP(HTTP/1.1) v####.6####.com:80
- TCP(TLS/1.0) 1####.217.20.110:443
Запросы DNS:
- pi####.qq.com
- sdk.91a####.com
- v####.6####.com
- w####.5####.com
Запросы HTTP GET:
- sdk.91a####.com/static/20171220095941mod.enc
Запросы HTTP POST:
- pi####.qq.com/mstat/report/?index=####
- sdk.91a####.com/api/DeviceReport.ashx
- v####.6####.com/api/CheckModule.ashx
- v####.6####.com/api/GetModuleConfig.ashx
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/base.js
- /data/data/####/com.tn.ndp.app.youxin_preferences.xml
- /data/data/####/common.js
- /data/data/####/cpro.baidu.com.js
- /data/data/####/download_item_db-journal
- /data/data/####/m.baidu.com.js
- /data/data/####/m.chinebuy.com.js
- /data/data/####/max_pref.xml
- /data/data/####/mod.dec
- /data/data/####/mod.dex
- /data/data/####/mod.enc
- /data/data/####/phan.xml
- /data/data/####/pri_tencent_analysis.db_com.tn.ndp.app.youxin-journal
- /data/data/####/start.js
- /data/data/####/tencent_analysis.db_com.tn.ndp.app.youxin-journal
- /data/media/####/id.tmp
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
Загружает динамические библиотеки:
- MtaNativeCrash_v2
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
