Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.4607
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) o####.b####.cn:80
- TCP(TLS/1.0) r5---sn####.g####.com:443
- TCP(TLS/1.0) fantasy####.cos.ap-che####.####.com:443
- TCP(TLS/1.0) android####.go####.com:443
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.0) 1####.251.36.42:443
- TCP(TLS/1.0) 2####.58.214.14:443
- TCP(TLS/1.2) 1####.250.179.174:443
- TCP(TLS/1.2) 2####.58.208.99:443
- TCP(TLS/1.2) 1####.251.36.42:443
- UDP and####.google####.com:443
- UDP r3---sn####.g####.com:443
Запросы DNS:
- and####.google####.com
- android####.go####.com
- fantasy####.cos.ap-che####.####.com
- m####.go####.com
- o####.b####.cn
- r3---sn####.g####.com
- r5---sn####.g####.com
Запросы HTTP GET:
- fantasy####.cos.ap-che####.####.com:443/fantasyH.apk
Запросы HTTP POST:
- o####.b####.cn/8/find
- o####.b####.cn/8/init
- o####.b####.cn/8/secret
Изменения в файловой системе:
Создает следующие файлы:
- /data/dalvik-cache/####/system@framework@am.jar@classes.dex
- /data/dalvik-cache/####/system@framework@am.jar@classes.dex.flo...leted)
- /data/data/####/.jgck
- /data/data/####/bmob_sp.xml
- /data/data/####/classes.dex
- /data/data/####/classes.oat
- /data/data/####/libjiagu.so
- /data/data/####/libjiagu_64.so
- /data/data/####/z.so
- /data/media/####/hx.so
Другие:
Запускает следующие shell-скрипты:
- /system/bin/log -p d -t su /dev/com.android.settings/.socket3385
- /system/bin/log -p d -t su /dev/com.android.settings/.socket3490
- /system/bin/log -p d -t su /dev/com.android.settings/.socket3606
- /system/bin/log -p d -t su /dev/com.android.settings/.socket3971
- /system/bin/log -p d -t su child exited
- /system/bin/log -p d -t su client exited 1
- /system/bin/log -p d -t su connecting client 3360
- /system/bin/log -p d -t su connecting client 3461
- /system/bin/log -p d -t su connecting client 3585
- /system/bin/log -p d -t su connecting client 3958
- /system/bin/log -p d -t su remote args: 1
- /system/bin/log -p d -t su remote pid: 3360
- /system/bin/log -p d -t su remote pid: 3461
- /system/bin/log -p d -t su remote pid: 3585
- /system/bin/log -p d -t su remote pid: 3958
- /system/bin/log -p d -t su remote pts_slave:
- /system/bin/log -p d -t su remote req pid: 3333
- /system/bin/log -p d -t su remote req pid: 3431
- /system/bin/log -p d -t su remote uid: 10065
- /system/bin/log -p d -t su sending code
- /system/bin/log -p d -t su starting daemon client 10065 10065
- /system/bin/log -p d -t su su invoked.
- /system/bin/log -p d -t su waiting for child exit
- /system/bin/log -p e -t su select failed with 2: No such file or directory
- /system/bin/log -p e -t su sqlite3 open /data/user_de/0/com.android.settings/databases/su.sqlite failure: 14
- /system/bin/log -p w -t su request rejected (10065->0 /system/bin/sh)
- su
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DES
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- DES
Использует повышенные привилегии.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Отрисовывает собственные окна поверх других приложений.
