Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Joker.328.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.0) b####.ly:443
- TCP(TLS/1.0) and####.a####.go####.com:443
- TCP(TLS/1.0) connect####.gst####.com:443
- TCP(TLS/1.0) convers####.appsf####.com:443
- TCP(TLS/1.0) safebro####.google####.com:443
- TCP(TLS/1.0) 1####.250.179.138:443
- TCP(TLS/1.0) p####.google####.com:443
- TCP(TLS/1.0) api.face####.com:443
- TCP(TLS/1.0) pla####.google####.com:443
- TCP(TLS/1.0) firebas####.google####.com:443
- TCP(TLS/1.0) gc####.appsf####.com:443
- TCP(TLS/1.2) 1####.250.179.138:443
- TCP(TLS/1.2) and####.a####.go####.com:443
- TCP b####.ly:443
- TCP and####.a####.go####.com:443
- TCP raw.githubu####.com:443
Запросы DNS:
- and####.a####.go####.com
- and####.cli####.go####.com
- and####.google####.com
- android####.go####.com
- b####.ly
- connect####.gst####.com
- convers####.appsf####.com
- firebas####.google####.com
- g####.face####.com
- gc####.appsf####.com
- p####.go####.com
- p####.google####.com
- pla####.google####.com
- pla####.googleu####.com
- raw.githubu####.com
- safebro####.google####.com
Запросы HTTP GET:
- api.face####.com:443/v8.0/446545529858478/mobile_sdk_gk?fields=####&form...
- api.face####.com:443/v8.0/446545529858478?fields=####&format=####&sdk=####
- gc####.appsf####.com:443/install_data/v4.0/<Package>?devkey=####&device_...
Запросы HTTP POST:
- api.face####.com:443/v8.0/446545529858478/activities
- convers####.appsf####.com:443/api/v6.1/androidevent?app_id=####&buildnum...
- firebas####.google####.com:443/v1/projects/appmanager-e1e6e/installations
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.font3289-3289-0
- /data/data/####/.font3366-3366-0
- /data/data/####/.
- /data/data/####/. .flock (deleted)
- /data/data/####/.
- /data/data/####/.
- /data/data/####/. .flock (deleted)
- /data/data/####/.
- /data/data/####/4f501aa394eb92f00bf16ab313bb9a3a138b008ad3820e8....0.tmp
- /data/data/####/FirebaseAppHeartBeat.xml
- /data/data/####/PersistedInstallation.W0RFRkFVTFRd+MTo2OTc1MjAy...m.json
- /data/data/####/PersistedInstallation262084tmp
- /data/data/####/PersistedInstallation866331858tmp
- /data/data/####/appsflyer-data.xml
- /data/data/####/com.clean.master.battery.sup.saver.cpu.cooled_p...es.xml
- /data/data/####/com.facebook.sdk.USER_SETTINGS.xml
- /data/data/####/com.facebook.sdk.appEventPreferences.xml
- /data/data/####/com.facebook.sdk.attributionTracking.xml
- /data/data/####/com.google.android.datatransport.events-journal
- /data/data/####/com.google.android.gms.appid-no-backup
- /data/data/####/com.google.android.gms.appid.xml
- /data/data/####/generatefid.lock
- /data/data/####/gray.storage.xml
- /data/data/####/journal
- /data/data/####/se
Другие:
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DES-CBC-PKCS5Padding
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Перехватывает уведомления.
Содержит Play Store Frosting.
