Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.287.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) www.okyes####.com:8081
- TCP(HTTP/1.1) 1####.104.212.202:80
- TCP(HTTP/1.1) www.koapk####.com:8081
Запросы DNS:
- www.koapk####.com
- www.okyes####.com
Запросы HTTP POST:
- www.koapk####.com:8081/sm/sr/rt/ry
- www.okyes####.com:8081/sdk/nsd.action?b=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/20160121.xml
- /data/data/####/201908261150.apk
- /data/data/####/201908261150.dex
- /data/data/####/Q2hhbm5lbElES2V5MjAxNjEyMjcxODU3.xml
- /data/data/####/ag.xml
- /data/data/####/bdownloaders.db
- /data/data/####/c201908261150.apk
- /data/data/####/rtr.db
- /data/data/####/rtr.db-journal
- /data/data/####/swith1014.db
- /data/data/####/swith1014.db-journal
Другие:
Запускает следующие shell-скрипты:
- app_process /system/bin com.android.commands.pm.Pm path <Package>
- awk {print $9}
- grep 2198
- grep 3488
- grep 4557
- grep 5649
- grep 6834
- grep 8111
- logcat -d -v time
- ps
- sh
Загружает динамические библиотеки:
- com.poweralert
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
