Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Triada.467.origin
Сетевая активность:
Подключается к:
- TCP(/sdk/v2/ofr/g_o_d_s5z2de3z5d6e9m1np?a=xhQtnUWj0qvYXq71Pq0y0d7s0RnHnt-jPjQy-BmTnjsjARn4nUns0q510qD20d0cXhnHntvjPjn1XqvY0dD20c030d7snjsj_jn4nUTU_IQTPN0YXq7cPNZj0I010t_1PdCs0UDu_qvh_U0hnjsj_hn4nCZewtODwI2BVGyh0dD20dV10GnHntDjPjnh0dDu0qD1PGnHntujPjnsnjsjwhn4nU7jiRQHnUWj0RnHntyjPjnsnjsjgjn4ntAMw9XTnjsjghn4nUm6vD1BvfLa0v_uOymjZUODZcQjXB0jiRQWnUWjO9QYAGnHntCjPjQy-BmTnjsjOhn4njnHnB_jPjncXq_Y0d-sXqCcXqDuPqvjiRQYnUWj0Uvs0dnIXUC20q53XcVcnjsjORn4njnHnB0jPjnjiRQhnUWj0cvIXq730dv20cv1PdCYnjsj-Gn4nUnY0d7hXU_2PqDuXc-y0hnHnB7jPjnsnjsj_6DjP) ba####.juicyt####.com:80
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 13.2####.16.115:8081
- TCP(HTTP/1.1) 1####.200.16.77:80
- TCP(HTTP/1.1) api.bi####.com:80
- TCP(HTTP/1.1) ggg.koapk####.com:80
- TCP(HTTP/1.1) sdk.5g####.net:80
- TCP(TLS/1.0) c####.cloudf####.com:443
Запросы DNS:
- 180.252.101.####.arpa
- api.bi####.com
- api.in####.com
- ba####.juicyt####.com
- c####.cloudf####.com
- ggg.koapk####.com
- sdk.5g####.net
- www.am####.com
Запросы HTTP GET:
- api.bi####.com/co?s2=####&u=####&s1=####&s=####&gaid=####&imei=####&andr...
Запросы HTTP POST:
- api.bi####.com/un
- ba####.juicyt####.com/
- ggg.koapk####.com/pgm/sr/gm/gy
- sdk.5g####.net/sdk/v2/ofr/g_o_d_s5z2de3z5d6e9m1np?a=####
- sdk.5g####.net/sdk/v2/r_z_c_w2z5dw2aa3m5ll7u31?a=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/0-c
- /data/data/####/0-e
- /data/data/####/0-f
- /data/data/####/0-g
- /data/data/####/1-d
- /data/data/####/2-d
- /data/data/####/77918162-f609-40ff-9845-629c0e1221fc.jar
- /data/data/####/Cju0OGxGE-2p8PgJ2pw17s.0
- /data/data/####/Ka3D0B2oYALWjEsC6ikcR7.0
- /data/data/####/MobikokCommonConfig.xml
- /data/data/####/daemon
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/ftp_19230601.log
- /data/data/####/index
- /data/data/####/j
- /data/data/####/libnav-3wx9zw.so
- /data/data/####/lob.xml
- /data/data/####/lob.xml.bak
- /data/data/####/m2019041112.apk
- /data/data/####/s2019041112.apk
- /data/data/####/temp.zip (deleted)
- /data/data/####/ver.ini.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/data/####/xx_c_s_t_20081331.xml
- /data/media/####/j
Другие:
Запускает следующие shell-скрипты:
- chmod 700 <Package Folder>/app_bin/daemon
- ping -c 3 -w 6 www.amazon.com
Загружает динамические библиотеки:
- com.area.boute
- libnav-3wx9zw
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о местоположении.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
