Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.BackDoor.325
- Android.Backdoor.547.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) i####.cn.com:80
- TCP(HTTP/1.1) 35.2####.176.194:443
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(TLS/1.0) 35.2####.176.194:443
- TCP(TLS/1.0) 64.2####.164.102:443
Запросы DNS:
- a####.u####.com
- cf.gdata####.net
- cl.mo####.u####.com
- gv1.x####.com
- i####.cn.com
- pg.x####.com
Запросы HTTP GET:
- i####.cn.com/a/3fc2a1053f475ae10e1f2398394c52ecb
Запросы HTTP POST:
- 35.2####.176.194:443/g/d?crc=####
- a####.u####.com/app_logs
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/1.apk
- /data/data/####/2.apk
- /data/data/####/3fc2a1053f475ae10e1f2398394c52ecb;account_file.xml
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/MF_CFG
- /data/data/####/MF_CFG-journal
- /data/data/####/TD_app_pefercen_profile.xml
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/classes.dex
- /data/data/####/dc.D091B2469B18ED3DA458F56869AA64AD.preferences.xml
- /data/data/####/e3fd4652-4a18-4f3a-81ac-7c10d05ca822.zip
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/initdata.xml
- /data/data/####/myfvu.dex (deleted)
- /data/data/####/myfvu.jar
- /data/data/####/paylib.dex
- /data/data/####/paylib.jar
- /data/data/####/pref_file.xml
- /data/data/####/talkingdata_app.db
- /data/data/####/talkingdata_app.db-journal
- /data/data/####/talkingdata_app_process_preferences_file
- /data/data/####/talkingdata_app_version_preferences_file
- /data/data/####/td_database_push
- /data/data/####/td_pefercen_profile.xml
- /data/data/####/tdandroidgame
- /data/data/####/tdid.xml
- /data/data/####/tmp.dat
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/vi_db_pay
- /data/data/####/vi_db_pay-journal
- /data/data/####/webview.db
- /data/data/####/webview.db-journal
- /data/media/####/.acterr
- /data/media/####/.tcookieid
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/crash-2021-08-13-1628871575120.log
- /data/media/####/oid
- /data/media/####/uid
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh
- ls -l /sbin/su
- ls -l /system/bin/su
- ls -l /system/sbin/su
- ls -l /system/xbin/su
- ls -l /vendor/bin/su
Загружает динамические библиотеки:
- apk_t_shirt
- cocos2dcpp
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Получает информацию об отправленых/принятых SMS.
Запрашивает разрешение на отображение системных уведомлений.
