Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Mobifun.11.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(TLS/1.0) ssl.google-####.com:443
- TCP(TLS/1.0) api.higam####.com:443
Запросы DNS:
- api.higam####.com
- sn####.iapp####.com
- ssl.google-####.com
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/0b511015_c375_4973_8ac8_9d3a06492119.jar
- /data/data/####/10ec1ab3_0548_4c7e_9bbd_c2411923289f.jar
- /data/data/####/17ea0a05_8e69_40a5_b3b2_fddf5af2f3b9.jar
- /data/data/####/1974d92c_87dd_4ea7_a209_1bf69b42a499.jar
- /data/data/####/32ef79ec_cde6_48e0_9ecc_7b9a0f5362da.jar
- /data/data/####/3423b7fb_5b99_460a_9de4_4dbd85902942.jar
- /data/data/####/349fc110_df24_47bc_80fe_dc5e59dfcc21.jar
- /data/data/####/6b0c86b7_261e_4753_829b_1b16fd4cc7c3.jar
- /data/data/####/6ed0612a_658a_4c6a_9acb_144fef4374a2.jar
- /data/data/####/74b2b069_7a3f_468a_9dd3_584982b7c77b.jar
- /data/data/####/92c3a917_0634_4bdd_88b8_f30cbd8bfa5d.jar
- /data/data/####/9ed78001_01d6_45f6_9aaf_c7231a3573c4.jar
- /data/data/####/GAOYUANYUAN.xml
- /data/data/####/a.xml
- /data/data/####/aaadb82a_c778_4f61_ab84_2ad1e2e47478.jar
- /data/data/####/ad86a744_3c4a_4ee8_a8d9_0d527b19b592.jar
- /data/data/####/b716da11_057a_4077_b85d_b67bdc246d8f.jar
- /data/data/####/c2bde0d8_f99b_45b5_a2d9_7fceced83a54.jar
- /data/data/####/c8454a4c_d3af_4f17_9acb_2c88bf229cad.jar
- /data/data/####/com.junge.parkour_preferences.xml
- /data/data/####/d8661fcf_e3c8_47da_a224_0a602f61de51.jar
- /data/data/####/e3d311dc_f3df_4b06_89d2_c44aef6f957a.jar
- /data/data/####/enforce.jar
- /data/data/####/gaClientId
- /data/data/####/google_analytics_v2.db-journal
- /data/data/####/gpay_jquery_1_6.ap
- /data/data/####/gpay_pay_event_5_6.ap
- /data/data/####/gpay_pay_sms_4_6.ap
- /data/data/####/jquery_1_6.applet
- /data/data/####/la.so
- /data/data/####/pay_event_5_6.applet
- /data/data/####/pay_sms_4_6.applet
- /data/data/####/snowplowEvents.sqlite
- /data/data/####/snowplowEvents.sqlite-journal
- /data/data/####/snowplowEvents.sqlite-shm (deleted)
- /data/data/####/snowplowEvents.sqlite-wal
- /data/data/####/unsent_requests
Другие:
Запускает следующие shell-скрипты:
- cat /proc/cpuinfo
- ps
Загружает динамические библиотеки:
- gnio
- la
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
- AES-CFB-NoPadding
- RSA-ECB-PKCS1Padding
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
