Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.440.origin
- Android.Triada.469.origin
- Android.Triada.89.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) un####.wos####.cn:8061
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) adser####.go####.com:443
Запросы DNS:
- abc.jxyx####.com
- adser####.go####.com
- clien####.wos####.cn
- oceand####.org
- p####.greatd####.com
- ssl.gst####.com
- un####.wos####.cn
- www.go####.com
- www.go####.nl
- www.gst####.com
Запросы HTTP POST:
- un####.wos####.cn:8061/logserver/getlog/appUpload
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-1260751803com.infinit.wostore.ui.apk
- /data/data/####/0308130b0801.dex
- /data/data/####/0308130b0801.jar
- /data/data/####/19845c69-37c8-4de9-b011-a7817f9deefa.zip
- /data/data/####/AppInstallInfoServlet.class
- /data/data/####/AppTransferResultServlet.class
- /data/data/####/AppinfoServlet.class
- /data/data/####/BaseServlet.class
- /data/data/####/CustomInfoServlet.class
- /data/data/####/DATA_DB
- /data/data/####/DATA_DB-journal
- /data/data/####/DownloadServlet.class
- /data/data/####/HelloWorldServlet.class
- /data/data/####/PluginConfigcom.infinit.wostore.ui.xml
- /data/data/####/PluginList.xml
- /data/data/####/Traffic.db
- /data/data/####/Traffic.db-journal
- /data/data/####/UserinfoServlet.class
- /data/data/####/WebLog.class
- /data/data/####/appStatus.xml
- /data/data/####/apps2
- /data/data/####/apps2-journal
- /data/data/####/classes.zip
- /data/data/####/config.xml
- /data/data/####/dataCache.db-journal
- /data/data/####/flow.xml
- /data/data/####/for_upload.xml
- /data/data/####/global.xml
- /data/data/####/global_timeout.xml
- /data/data/####/global_timeouttimeoutlist.xml
- /data/data/####/index.html
- /data/data/####/job1013_1607042965.jar
- /data/data/####/job1013_1663911648.jar
- /data/data/####/job1013_1900654787.jar
- /data/data/####/job2130.temp
- /data/data/####/job2255.temp
- /data/data/####/job2290.temp
- /data/data/####/job2322.temp
- /data/data/####/job2423.temp
- /data/data/####/job2505.temp
- /data/data/####/job2590.temp
- /data/data/####/job2675.temp
- /data/data/####/job2765.temp
- /data/data/####/job2858.temp
- /data/data/####/job2979.temp
- /data/data/####/job3067.temp
- /data/data/####/job3150.temp
- /data/data/####/job3236.temp
- /data/data/####/job3332.temp
- /data/data/####/job3425.temp
- /data/data/####/job3506.temp
- /data/data/####/job3599.temp
- /data/data/####/job3696.temp
- /data/data/####/job3789.temp
- /data/data/####/job3879.temp
- /data/data/####/keystore
- /data/data/####/libunicomaccountnoui.so
- /data/data/####/msg_store.xml
- /data/data/####/push_core.dex
- /data/data/####/push_core.jar
- /data/data/####/realm.properties
- /data/data/####/sdk_account_noui_load_info_2.xml
- /data/data/####/setting.xml
- /data/data/####/shell_pref.xml
- /data/data/####/update.xml
- /data/data/####/uulog.db
- /data/data/####/uulog.db-journal
- /data/data/####/videoWatchRecord-journal
- /data/data/####/web.xml
- /data/data/####/webdefault.xml
- /data/data/####/webview.db-journal
- /data/media/####/.nomedia
- /data/media/####/90cb4c15d752cc9619ada5409ae327e9_1013.90
- /data/media/####/FlashTransfer_CLog1.txt
- /data/media/####/wostorelog.txt.log
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c ps
- ps
Загружает динамические библиотеки:
- Australian
- libunicomaccountnoui
- mistress
Использует следующие алгоритмы для шифрования данных:
- DES-ECB-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- DES-ECB-NoPadding
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
