Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Banker.190.origin
- Android.Xiny.73.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 13.2####.16.115:8081
- TCP(HTTP/1.1) log.koapk####.com:80
- TCP(HTTP/1.1) 4####.33.9.178:80
- TCP(HTTP/1.1) 1####.216.18.240:80
- TCP(HTTP/1.1) www.okyes####.com:8081
- TCP(HTTP/1.1) www.koapk####.com:8081
- TCP(TLS/1.0) api.face####.com:443
- TCP(TLS/1.0) app-mea####.com:443
- TCP(TLS/1.0) 1####.217.168.206:443
Запросы DNS:
- app-mea####.com
- g####.face####.com
- log.koapk####.com
- www.koapk####.com
- www.okyes####.com
Запросы HTTP POST:
- 13.2####.16.115:8081/sm/sr/sdl/in
- log.koapk####.com/pgm/sr/gm/gy
- www.koapk####.com:8081/sm/sr/rt/ry
- www.koapk####.com:8081/sm/sr/sdl/in
- www.okyes####.com:8081/sdk/nsd.action?b=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/20160121.xml
- /data/data/####/20160121.xml.bak
- /data/data/####/201902221950.apk
- /data/data/####/201902221950.dex
- /data/data/####/65379219.apk
- /data/data/####/65379219.dex
- /data/data/####/Q2hhbm5lbElES2V5MjAxNjEyMjcxODU3.xml
- /data/data/####/VirtualAPK_Settings.xml
- /data/data/####/ag.xml
- /data/data/####/bdownloaders.db
- /data/data/####/bdownloaders.db-journal
- /data/data/####/com.facebook.internal.preferences.APP_SETTINGS.xml
- /data/data/####/com.facebook.sdk.appEventPreferences.xml
- /data/data/####/com.facebook.sdk.attributionTracking.xml
- /data/data/####/com.google.InstanceId.properties
- /data/data/####/com.google.android.gms.appid-no-backup
- /data/data/####/com.google.android.gms.appid.xml
- /data/data/####/com.google.android.gms.measurement.prefs.xml
- /data/data/####/com.tcpoa.twozerogame_preferences.xml
- /data/data/####/google_app_measurement.db
- /data/data/####/google_app_measurement.db-journal
- /data/data/####/google_app_measurement_local.db
- /data/data/####/google_app_measurement_local.db-journal
- /data/data/####/libcom.koawe.tuder.pro.so
- /data/data/####/libf_c_c.so
- /data/data/####/lob.xml
- /data/data/####/m2019022220.apk
- /data/data/####/m2019022220.dex
- /data/data/####/onlyjsauto201903261750.data
- /data/data/####/rtr.db
- /data/data/####/rtr.db-journal
- /data/data/####/s2019022220.apk
- /data/data/####/s2019022220.dex
- /data/data/####/store.xml
- /data/data/####/swith1014.db
- /data/data/####/swith1014.db-journal
- /data/data/####/temp.zip (deleted)
- /data/data/####/ver.ini.xml
Другие:
Запускает следующие shell-скрипты:
- app_process /system/bin com.android.commands.pm.Pm path <Package>
- awk {print $9}
- grep 2284
- grep 3495
- grep 4776
- grep 6125
- grep 7240
- grep 8434
- grep 9655
- logcat -d -v time
- md5 /data/app/<Package>-1.apk
- ps
- sh
Загружает динамические библиотеки:
- com.koawe.tuder
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Получает информацию о сети.
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
