Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.20
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(TLS/1.0) 1####.177.14.101:443
- TCP(TLS/1.0) and####.cli####.go####.com:443
Запросы DNS:
- a####.co####.com
- and####.cli####.go####.com
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.md5
- /data/data/####/.sec_version
- /data/data/####/0iqF8G
- /data/data/####/7-0q9H
- /data/data/####/7MDR9H
- /data/data/####/Dbd_8E
- /data/data/####/JpzC_E
- /data/data/####/Q0MP-G
- /data/data/####/classes.dex
- /data/data/####/classes.jar
- /data/data/####/com.chaostrend.jetpackpenguinsili
- /data/data/####/coo_id.xml
- /data/data/####/iM22_G
- /data/data/####/ki.xml
- /data/data/####/kp_shortcut.xml
- /data/data/####/libsecexe.x86.so
- /data/data/####/libsecmain.x86.so
- /data/data/####/request_prefs.xml
- /data/data/####/toggle_flag_pref.xml
- /data/data/####/vzFd8E
- /data/data/####/webview.db
- /data/data/####/webview.db-journal
- /data/media/####/KI.DAT
- /data/media/####/clst.dat
Другие:
Запускает следующие shell-скрипты:
- <Package> <Package> -1830535976 0 /data/app/<Package>-1.apk 41 <Package> 47 48
- chmod 755 <Package Folder>/.cache/<Package>
Загружает динамические библиотеки:
- libsecexe
- openal
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о телефоне (номер, IMEI и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
