Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.BankBot.563.origin
Отправляет данные входящих SMS на удалённый хост.
Скрывает свою иконку с экрана.
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) birigel####.net:80
- TCP(HTTP/1.1) ip####.com:80
- UDP(NTP) 2.and####.p####.####.org:123
- TCP(TLS/1.0) 64.2####.163.95:443
- TCP(TLS/1.2) 2####.85.233.94:443
- UDP 2####.85.233.95:443
- UDP 85.1####.116.204:443
- UDP 85.1####.117.141:443
Запросы DNS:
- 2.and####.p####.####.org
- birigel####.net
- ip####.com
- m####.go####.com
Запросы HTTP GET:
- birigel####.net/api/mirrors
- birigel####.net/api/v1/device/check?screen=####
- birigel####.net/payload
- birigel####.net/storage/zip/dBtZm4QlYb2E9caNHlKIIBC1oASQpaQCw2Bc5j4f.zip
- ip####.com/json
Запросы HTTP POST:
- birigel####.net/api/v1/device/lock
- birigel####.net/api/v1/device/server-log
- birigel####.net/api/v1/device/sms
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/1222122121.xml
- /data/data/####/AUTHORS.txt
- /data/data/####/CHANGELOG.md
- /data/data/####/FontAwesome.otf
- /data/data/####/Gemfile
- /data/data/####/Gemfile.lock
- /data/data/####/Gruntfile.js
- /data/data/####/HELP-US-OUT.txt
- /data/data/####/ISSUE_TEMPLATE.md
- /data/data/####/LICENSE
- /data/data/####/LICENSE.md
- /data/data/####/MyGet.ps1
- /data/data/####/README.md
- /data/data/####/Roboto-Bold.ttf
- /data/data/####/Roboto-Regular.ttf
- /data/data/####/Thumbs.db
- /data/data/####/_animated.scss
- /data/data/####/_bordered-pulled.scss
- /data/data/####/_core.scss
- /data/data/####/_fixed-width.scss
- /data/data/####/_icons.scss
- /data/data/####/_larger.scss
- /data/data/####/_list.scss
- /data/data/####/_mixins.scss
- /data/data/####/_path.scss
- /data/data/####/_rotated-flipped.scss
- /data/data/####/_screen-reader.scss
- /data/data/####/_stacked.scss
- /data/data/####/_variables.scss
- /data/data/####/affix.js
- /data/data/####/alert.js
- /data/data/####/alerts.less
- /data/data/####/alior.bankingapp.android.png
- /data/data/####/angular-csp.css
- /data/data/####/angular.js
- /data/data/####/angular.min.js
- /data/data/####/angular.min.js.gzip
- /data/data/####/angular.min.js.map
- /data/data/####/animate.min.css
- /data/data/####/animated.less
- /data/data/####/app.wizink.es.png
- /data/data/####/ar.bapro.png
- /data/data/####/ar.com.bcopatagonia.android.png
- /data/data/####/ar.com.redlink.custom.png
- /data/data/####/ar.com.santander.rio.mbanking.png
- /data/data/####/ar.macro.png
- /data/data/####/background-variant.less
- /data/data/####/badges.less
- /data/data/####/bootstrap-theme.css
- /data/data/####/bootstrap-theme.css.map
- /data/data/####/bootstrap-theme.min.css
- /data/data/####/bootstrap-theme.min.css.map
- /data/data/####/bootstrap.css
- /data/data/####/bootstrap.css.map
- /data/data/####/bootstrap.js
- /data/data/####/bootstrap.less
- /data/data/####/bootstrap.less.nuspec
- /data/data/####/bootstrap.min.css
- /data/data/####/bootstrap.min.css.map
- /data/data/####/bootstrap.min.js
- /data/data/####/bootstrap.nuspec
- /data/data/####/border-radius.less
- /data/data/####/bordered-pulled.less
- /data/data/####/bower.json
- /data/data/####/breadcrumbs.less
- /data/data/####/bs-commonjs-generator.js
- /data/data/####/bs-glyphicons-data-generator.js
- /data/data/####/bs-lessdoc-parser.js
- /data/data/####/bs-raw-files-generator.js
- /data/data/####/button-groups.less
- /data/data/####/button.js
- /data/data/####/buttons.less
- /data/data/####/cards.i18n.js
- /data/data/####/carousel.js
- /data/data/####/carousel.less
- /data/data/####/cash.klever.blockchain.wallet.png
- /data/data/####/cat.functions.js
- /data/data/####/cat.style.css
- /data/data/####/center-block.less
- /data/data/####/cgd.pt.caixadirectaparticulares.png
- /data/data/####/change-version.js
- /data/data/####/clearfix.less
- /data/data/####/close.less
- /data/data/####/co.bitx.android.wallet.png
- /data/data/####/co.com.bbva.mb.png
- /data/data/####/co.mona.android.png
- /data/data/####/co.uk.Nationwide.Mobile.png
- /data/data/####/code.less
- /data/data/####/collapse.js
- /data/data/####/com.BankAlBilad.EnjazApp.png
- /data/data/####/com.BankAlBilad.png
- /data/data/####/com.acceltree.mtc.screens.png
- /data/data/####/com.adcb.bank.png
- /data/data/####/com.akbank.android.apps.akbank_direkt.png
- /data/data/####/com.alahli.mobile.android.png
- /data/data/####/com.alahli.quickpay.png
- /data/data/####/com.albarakaapp.png
- /data/data/####/com.alinma.retail.png
- /data/data/####/com.ally.MobileBanking.png
- /data/data/####/com.alrajhiretailapp.png
- /data/data/####/com.ambank.ambankonline.png
- /data/data/####/com.americanexpress.android.acctsvcs.us.png
- /data/data/####/com.arabbank.arabimobilev2.png
- /data/data/####/com.arkea.android.application.cmb.png
- /data/data/####/com.avuscapital.trading212.png
- /data/data/####/com.axabanque.fr.png
- /data/data/####/com.bancocajasocial.geolocation.png
- /data/data/####/com.bankia.wallet.png
- /data/data/####/com.bankinter.launcher.png
- /data/data/####/com.barclaycardus.png
- /data/data/####/com.bbva.bbvacontigo.png
- /data/data/####/com.bbva.netcash.png
- /data/data/####/com.bbva.nxt_peru.png
- /data/data/####/com.bcp.bank.bcp.png
- /data/data/####/com.binance.dev.png
- /data/data/####/com.bitcoin.mwallet.png
- /data/data/####/com.bitpay.wallet.png
- /data/data/####/com.bmoharris.digital.png
- /data/data/####/com.bnhp.payments.paymentsapp.png
- /data/data/####/com.booking.png
- /data/data/####/com.botw.mobilebanking.png
- /data/data/####/com.boursorama.android.clients.png
- /data/data/####/com.bsffm.png
- /data/data/####/com.bsnebiz.cdb.png
- /data/data/####/com.caisseepargne.android.mobilebanking.png
- /data/data/####/com.cajaingenieros.android.bancamovil.png
- /data/data/####/com.cajasur.android.png
- /data/data/####/com.cbd.mobile.png
- /data/data/####/com.chase.sig.android.png
- /data/data/####/com.cic_prod.bad.png
- /data/data/####/com.cimbmalaysia.png
- /data/data/####/com.citi.citimobile.png
- /data/data/####/com.citi.mobile.ccc.png
- /data/data/####/com.citibank.CitibankMY.png
- /data/data/####/com.citizensbank.androidapp.png
- /data/data/####/com.clairmail.fth.png
- /data/data/####/com.cleverlance.csas.servis24.png
- /data/data/####/com.cm_prod.bad.png
- /data/data/####/com.cmcmarkets.android.cfd.png
- /data/data/####/com.coinbase.android.png
- /data/data/####/com.comarch.mobile.banking.bgzbnpparibas.biznes.png
- /data/data/####/com.comarch.security.mobilebanking.png
- /data/data/####/com.compasssavingsbank.mobile.png
- /data/data/####/com.cooperativebank.bank.png
- /data/data/####/com.credit_coop.android.mobilebanking.png
- /data/data/####/com.db.pbc.miabanca.png
- /data/data/####/com.denizbank.mobildeniz.png
- /data/data/####/com.dib.app.png
- /data/data/####/com.discoverfinancial.mobile.png
- /data/data/####/com.engage.pbb.pbengage2my.release.png
- /data/data/####/com.fab.personalbanking.png
- /data/data/####/com.fi7026.godough.png
- /data/data/####/com.fibi.nativeapp.png
- /data/data/####/com.finansbank.mobile.cepsube.png
- /data/data/####/com.finanteq.finance.bgz.png
- /data/data/####/com.finanteq.finance.ca.png
- /data/data/####/com.fullsix.android.labanquepostale.accountaccess.png
- /data/data/####/com.garanti.cepsubesi.png
- /data/data/####/com.gemini.android.app.png
- /data/data/####/com.getingroup.mobilebanking.png
- /data/data/####/com.goodbarber.ybrmalaysia.png
- /data/data/####/component-animations.less
- /data/data/####/configBridge.json
- /data/data/####/core.js
- /data/data/####/core.less
- /data/data/####/credit.js
- /data/data/####/dbL.dex
- /data/data/####/dbL.dex.flock (deleted)
- /data/data/####/dbL.json
- /data/data/####/dropdown.js
- /data/data/####/dropdowns.less
- /data/data/####/fixed-width.less
- /data/data/####/font-awesome.css
- /data/data/####/font-awesome.css.map
- /data/data/####/font-awesome.less
- /data/data/####/font-awesome.min.css
- /data/data/####/font-awesome.scss
- /data/data/####/fontawesome-webfont.eot
- /data/data/####/fontawesome-webfont.svg
- /data/data/####/fontawesome-webfont.ttf
- /data/data/####/fontawesome-webfont.woff
- /data/data/####/fontawesome-webfont.woff2
- /data/data/####/footer.png
- /data/data/####/forms.less
- /data/data/####/functions.js
- /data/data/####/functions.mini.js
- /data/data/####/glyphicons-halflings-regular.eot
- /data/data/####/glyphicons-halflings-regular.svg
- /data/data/####/glyphicons-halflings-regular.ttf
- /data/data/####/glyphicons-halflings-regular.woff
- /data/data/####/glyphicons-halflings-regular.woff2
- /data/data/####/glyphicons.less
- /data/data/####/gradients.less
- /data/data/####/grid-framework.less
- /data/data/####/grid.less
- /data/data/####/hide-text.less
- /data/data/####/icons.less
- /data/data/####/image.less
- /data/data/####/index.html
- /data/data/####/index.js
- /data/data/####/input-groups.less
- /data/data/####/jquery-1.12.0.min.js
- /data/data/####/jquery.js
- /data/data/####/jquery.mask.min.js
- /data/data/####/jquery.maskedinput.min.js
- /data/data/####/jquery.min.js
- /data/data/####/jquery.min.map
- /data/data/####/jquery.mobile-1.3.0.min.js
- /data/data/####/jquery.slim.js
- /data/data/####/jumbotron.less
- /data/data/####/labels.less
- /data/data/####/larger.less
- /data/data/####/list-group.less
- /data/data/####/list.less
- /data/data/####/logo.png
- /data/data/####/logo1.png
- /data/data/####/logo2.png
- /data/data/####/logo3.png
- /data/data/####/media.less
- /data/data/####/mixins.less
- /data/data/####/mobipick.js
- /data/data/####/modal.js
- /data/data/####/modals.less
- /data/data/####/nav-divider.less
- /data/data/####/nav-vertical-align.less
- /data/data/####/navbar.less
- /data/data/####/navs.less
- /data/data/####/normalize.less
- /data/data/####/npm-shrinkwrap.json
- /data/data/####/npm.js
- /data/data/####/opacity.less
- /data/data/####/package.js
- /data/data/####/package.json
- /data/data/####/pager.less
- /data/data/####/pagination.less
- /data/data/####/panels.less
- /data/data/####/path.less
- /data/data/####/payload.apk
- /data/data/####/popover.js
- /data/data/####/popovers.less
- /data/data/####/pref_name_setting.xml
- /data/data/####/prefs30.xml
- /data/data/####/print.less
- /data/data/####/progress-bar.less
- /data/data/####/progress-bars.less
- /data/data/####/reset-filter.less
- /data/data/####/reset-text.less
- /data/data/####/resize.less
- /data/data/####/responsive-embed.less
- /data/data/####/responsive-utilities.less
- /data/data/####/responsive-visibility.less
- /data/data/####/rotated-flipped.less
- /data/data/####/sauce_browsers.yml
- /data/data/####/scaffolding.less
- /data/data/####/screen-reader.less
- /data/data/####/scrollspy.js
- /data/data/####/size.less
- /data/data/####/stacked.less
- /data/data/####/style.css
- /data/data/####/tab-focus.less
- /data/data/####/tab.js
- /data/data/####/table-row.less
- /data/data/####/tables.less
- /data/data/####/text-emphasis.less
- /data/data/####/text-overflow.less
- /data/data/####/theme.less
- /data/data/####/thumbnails.less
- /data/data/####/tooltip.js
- /data/data/####/tooltip.less
- /data/data/####/transition.js
- /data/data/####/type.less
- /data/data/####/utilities.less
- /data/data/####/variables.less
- /data/data/####/vendor-prefixes.less
- /data/data/####/viewport.js
- /data/data/####/wells.less
- /data/data/####/xdate.i18n.js
- /data/data/####/xdate.js
- /data/media/####/dBtZm4QlYb2E9caNHlKIIBC1oASQpaQCw2Bc5j4f.zip
- /data/misc/####/primary.prof
Другие:
Получает информацию о сети.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
Перехватывает уведомления.
Запрашивает разрешение на отображение системных уведомлений.
