Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.573.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(TLS/1.0) st####.doublec####.net:443
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) p####.go####.com:443
- TCP(TLS/1.0) myacc####.go####.com:443
- TCP(TLS/1.0) id.go####.com:443
- TCP(TLS/1.0) i.y####.com:443
- TCP(TLS/1.0) encrypt####.gst####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) adser####.go####.com:443
- TCP(TLS/1.0) www.you####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) ssl.google-####.com:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) a####.go####.com:443
- TCP(TLS/1.0) googl####.g.doublec####.net:443
- TCP(TLS/1.0) s####.g.doublec####.net:443
Запросы DNS:
- a####.go####.com
- adser####.go####.com
- encrypt####.gst####.com
- encrypt####.gst####.com
- f####.gst####.com
- googl####.g.doublec####.net
- i.y####.com
- id.go####.com
- mt####.go####.com
- myacc####.go####.com
- p####.go####.com
- poli####.go####.com
- s####.g.doublec####.net
- s.y####.com
- ssl.google-####.com
- ssl.gst####.com
- st####.doublec####.net
- www.go####.com
- www.go####.nl
- www.google-####.com
- www.gst####.com
- www.you####.com
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/bootloader.dex
- /data/data/####/bootloader.dex (deleted)
Другие:
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5PADDING
Отрисовывает собственные окна поверх других приложений.
