Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.232.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) www.cu####.com:80
- TCP(HTTP/1.1) h5.n####.com:80
- TCP(HTTP/1.1) www.zfr####.com:80
Запросы DNS:
- h5.n####.com
- www.cu####.com
- www.zfr####.com
Запросы HTTP GET:
- www.cu####.com/20190220135204.d_201902201350.zip
Запросы HTTP POST:
- h5.n####.com/deploy/gttask
- www.zfr####.com/up.do
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/bigtimeother_config.xml
- /data/data/####/bigtimesp_config.xml
- /data/data/####/bigtimeupgrade_config.xml
- /data/data/####/d.zip
- /data/data/####/dtemp.apk
- /data/data/####/howbe
- /data/data/####/m_cfg.xml
- /data/data/####/my.db
- /data/data/####/my.db-journal
- /data/data/####/ob.zip
- /data/data/####/sp_click_cf.xml
- /data/data/####/t_ini.xml
- /data/media/####/pid
Другие:
Запускает следующие shell-скрипты:
- app_process /system/bin com.android.commands.am.Am startservice --user 0 -n <Package>/com.city.zoo.HService
- chmod 777 <Package Folder>/howbe
- dd if=<Package Folder>/lib/libhowbe.so of=<Package Folder>/howbe
- sh
Загружает динамические библиотеки:
- howbe
Использует следующие алгоритмы для шифрования данных:
- desede-ECB-PKCS5Padding
Получает информацию о телефоне (номер, IMEI и т. д.).
