Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.BankBot.563.origin
Отправляет данные о контактах устройства на удалённый хост.
Отправляет данные входящих SMS на удалённый хост.
Скрывает свою иконку с экрана.
Детект на основе машинного обучения.
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) iruiahs####.net:80
- TCP(HTTP/1.1) ip####.com:80
- UDP(NTP) 2.and####.p####.####.org:123
- TCP(TLS/1.0) pla####.google####.com:443
- TCP(TLS/1.0) p####.google####.com:443
- TCP(TLS/1.0) rr1---s####.g####.com:443
- TCP(TLS/1.0) rr5---s####.g####.com:443
- TCP(TLS/1.2) p####.google####.com:443
- TCP(TLS/1.2) 1####.251.36.3:443
- TCP(TLS/1.2) 1####.250.179.142:443
- UDP p####.google####.com:443
Запросы DNS:
- 2.and####.p####.####.org
- ip####.com
- iruiahs####.net
- p####.google####.com
- pla####.google####.com
- rr1---s####.g####.com
- rr5---s####.g####.com
- www.google####.com
Запросы HTTP GET:
- ip####.com/json
- iruiahs####.net/api/mirrors
- iruiahs####.net/api/v1/device/check?screen=####
- iruiahs####.net/payload
- iruiahs####.net/storage/zip/8nOCeTKaSSHbFx3PVHFtizbpbsXVlhJY75Pl3uwG.zip
Запросы HTTP POST:
- iruiahs####.net/api/v1/device
- iruiahs####.net/api/v1/device/contacts
- iruiahs####.net/api/v1/device/lock
- iruiahs####.net/api/v1/device/server-log
- iruiahs####.net/api/v1/device/sms
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/1222122121.xml
- /data/data/####/Gue.dex
- /data/data/####/Gue.dex.flock (deleted)
- /data/data/####/Gue.json
- /data/data/####/alior_bankingapp_android.png
- /data/data/####/at.bank99.meine.meine.png
- /data/data/####/at.ing.diba.client.onlinebanking.png
- /data/data/####/at.volksbank.volksbankmobile.png
- /data/data/####/at_bawag_mbanking.png
- /data/data/####/at_easybank_mbanking.png
- /data/data/####/at_spardat_bcrmobile.png
- /data/data/####/at_spardat_netbanking.png
- /data/data/####/at_volksbank_volksbankmobile.png
- /data/data/####/au.com.bankwest.mobile.png
- /data/data/####/au.com.cua.mb.png
- /data/data/####/au.com.ingdirect.android.png
- /data/data/####/au.com.nab.mobile.png
- /data/data/####/au.com.suncorp.SuncorpBank.png
- /data/data/####/cl_santander_app_empresas.png
- /data/data/####/cl_santander_smartphone.png
- /data/data/####/co.com.bbva.mb.png
- /data/data/####/co_bitx_android_wallet.png
- /data/data/####/com.albarakaapp.png
- /data/data/####/com.anz.android.gomoney.png
- /data/data/####/com.axabanque.fr.png
- /data/data/####/com.bancodebogota.bancamovil.png
- /data/data/####/com.bankaustria.android.olb.png
- /data/data/####/com.bankofqueensland.boq.png
- /data/data/####/com.bawagpsk.bawagpsk.png
- /data/data/####/com.bendigobank.mobile.png
- /data/data/####/com.bitfinex.mobileapp.png
- /data/data/####/com.bitmarket.trader.png
- /data/data/####/com.boursorama.android.clients.png
- /data/data/####/com.caisseepargne.android.mobilebanking.png
- /data/data/####/com.citibank.mobile.au.png
- /data/data/####/com.coinbase.android.png
- /data/data/####/com.commbank.netbank.png
- /data/data/####/com.easybank.easybank.png
- /data/data/####/com.fullsix.android.labanquepostale.accountaccess.png
- /data/data/####/com.grupoavaloc1.bancamovil.png
- /data/data/####/com.htsu.hsbcpersonalbanking.png
- /data/data/####/com.imb.banking2.png
- /data/data/####/com.jiffyondemand.user.png
- /data/data/####/com.latuabancaperandroid.png
- /data/data/####/com.lynxspa.bancopopolare.png
- /data/data/####/com.palatine.android.mobilebanking.prod.png
- /data/data/####/com.super.donor_preferences.xml
- /data/data/####/com.thanksmister.bitcoin.localtrader.png
- /data/data/####/com.todo1.davivienda.mobileapp.png
- /data/data/####/com.todo1.mobile.png
- /data/data/####/com.unicredit.png
- /data/data/####/com.unocoin.unocoinwallet.png
- /data/data/####/com.usaa.mobile.android.usaa.png
- /data/data/####/com_Bither_one.png
- /data/data/####/com_Plus500.png
- /data/data/####/com_akbank_android_apps_akbank_direkt.png
- /data/data/####/com_albarakaapp.png
- /data/data/####/com_alibaba_aliexpresshd.png
- /data/data/####/com_ally_MobileBanking.png
- /data/data/####/com_amazon_mShop_android_shopping.png
- /data/data/####/com_ambank_ambankonline.png
- /data/data/####/com_android_vending.png
- /data/data/####/com_bancocajasocial_geolocation.png
- /data/data/####/com_bankaustria_android_olb.png
- /data/data/####/com_bankia_wallet.png
- /data/data/####/com_bankinter_launcher.png
- /data/data/####/com_bankofamerica_eventsplanner.png
- /data/data/####/com_bbt_myfi.png
- /data/data/####/com_bbva_bbvacontigo.png
- /data/data/####/com_bbva_netcash.png
- /data/data/####/com_binance_dev.png
- /data/data/####/com_bitcoin_mwallet.png
- /data/data/####/com_bitfinex_mobileapp.png
- /data/data/####/com_breadwallet.png
- /data/data/####/com_btcturk.png
- /data/data/####/com_btcturk_pro.png
- /data/data/####/com_cajaingenieros_android_bancamovil.png
- /data/data/####/com_chase_sig_android.png
- /data/data/####/com_cimbmalaysia.png
- /data/data/####/com_citi_citimobile.png
- /data/data/####/com_citibanamex_banamexmobile.png
- /data/data/####/com_citibank_CitibankMY.png
- /data/data/####/com_clairmail_fth.png
- /data/data/####/com_coinbase_android.png
- /data/data/####/com_coinomi_wallet.png
- /data/data/####/com_commerzbank_photoTAN.png
- /data/data/####/com_connectivityapps_hotmail.png
- /data/data/####/com_db_businessline_cardapp.png
- /data/data/####/com_db_mm_norisbank.png
- /data/data/####/com_db_pwcc_dbmobile.png
- /data/data/####/com_denizbank_mobildeniz.png
- /data/data/####/com_discoverfinancial_mobile.png
- /data/data/####/com_ebay_mobile.png
- /data/data/####/com_electroneum_mobile.png
- /data/data/####/com_engage_pbb_pbengage2my_release.png
- /data/data/####/com_facebook_katana.png
- /data/data/####/com_finansbank_mobile_cepsube.png
- /data/data/####/com_finanteq_finance_bgz.png
- /data/data/####/com_garanti_cepsubesi.png
- /data/data/####/com_getingroup_mobilebanking.png
- /data/data/####/com_google_android_apps_walletnfcrel.png
- /data/data/####/com_google_android_gm.png
- /data/data/####/com_greenaddress_greenbits_android_wallet.png
- /data/data/####/com_grppl_android_shell_CMBlloydsTSB73.png
- /data/data/####/com_grppl_android_shell_halifax.png
- /data/data/####/com_grupoavalav1_bancamovil.png
- /data/data/####/com_hittechsexpertlimited_hitbtc.png
- /data/data/####/com_htsu_hsbcpersonalbanking.png
- /data/data/####/com_imo_android_imoim.png
- /data/data/####/com_indra_itecban_triodosbank_mobile.banki.png
- /data/data/####/com_infonow_bofa.png
- /data/data/####/com_ingbanktr_ingmobil.png
- /data/data/####/com_instagram_android.png
- /data/data/####/com_isis_papyrus_raiffeisen_pay_eyewdg.png
- /data/data/####/com_konylabs_HongLeongConnect.png
- /data/data/####/com_konylabs_capitalone.png
- /data/data/####/com_konylabs_cbplpat.png
- /data/data/####/com_kraken_trade.png
- /data/data/####/com_kutxabank_android.png
- /data/data/####/com_kuveytturk_mobil.png
- /data/data/####/com_liberty_jaxx.png
- /data/data/####/com_magiclick_odeabank.png
- /data/data/####/com_mail_mobile_android_mail.png
- /data/data/####/com_mediolanum.png
- /data/data/####/com_mobillium_papara.png
- /data/data/####/com_moneybookers_skrillpayments.png
- /data/data/####/com_moneybookers_skrillpayments_neteller.png
- /data/data/####/com_mycelium_wallet.png
- /data/data/####/com_myetherwallet_mewwallet.png
- /data/data/####/com_navyfederal_android.png
- /data/data/####/com_netflix_mediaclient.png
- /data/data/####/com_paypal_android_p2pmobile.png
- /data/data/####/com_plunien_poloniex.png
- /data/data/####/com_pnc_ecommerce_mobile.png
- /data/data/####/com_polehin_android.png
- /data/data/####/com_pozitron_iscep.png
- /data/data/####/com_rbs_banklinemobile_natwest.png
- /data/data/####/com_rbs_mobile_android_rbs.png
- /data/data/####/com_rsi.png
- /data/data/####/com_rsi_Colonya.png
- /data/data/####/com_schwab_mobile.png
- /data/data/####/com_skype_raider.png
- /data/data/####/com_snapchat_android.png
- /data/data/####/com_softtech_isbankasi.png
- /data/data/####/com_starfinanz_smob_android_sfinanzstatus.png
- /data/data/####/com_suntrust_mobilebanking.png
- /data/data/####/com_targo_prod_bad.png
- /data/data/####/com_targoes_prod.bad.png
- /data/data/####/com_tdbank.png
- /data/data/####/com_teb.png
- /data/data/####/com_thanksmister_bitcoin_localtrader.png
- /data/data/####/com_tmob_denizbank.png
- /data/data/####/com_tmobtech_halkbank.png
- /data/data/####/com_twitter_android.png
- /data/data/####/com_ubercab.png
- /data/data/####/com_ubercab_eats.png
- /data/data/####/com_uphold_wallet.png
- /data/data/####/com_usaa_mobile_android_usaa.png
- /data/data/####/com_vakifbank_mobile.png
- /data/data/####/com_viber_voip.png
- /data/data/####/com_wf_wellsfargomobile.png
- /data/data/####/com_whatsapp.png
- /data/data/####/com_yahoo_mobile_client_android_mail.png
- /data/data/####/com_yinzcam_facilities_verizon.png
- /data/data/####/com_ykb_android.png
- /data/data/####/com_ziraat_ziraatmobil.png
- /data/data/####/de.comdirect.app.png
- /data/data/####/de_comdirect_android.png
- /data/data/####/de_commerzbanking_mobil.png
- /data/data/####/de_consorsfinanz_onlinebanking.png
- /data/data/####/de_dkb_portalapp.png
- /data/data/####/de_fiducia_smartphone_android_banking_vr.png
- /data/data/####/de_ingdiba_bankingapp.png
- /data/data/####/de_postbank_finanzassistent.png
- /data/data/####/es_bancosantander_apps.png
- /data/data/####/es_caixagalicia_activamovil.png
- /data/data/####/es_caixaontinyent_caixaontinyentapp.png
- /data/data/####/es_cecabank_ealia2103appstore.png
- /data/data/####/es_cm_android.png
- /data/data/####/es_lacaixa_mobile_android_newwapicon.png
- /data/data/####/es_liberbank_cajasturapp.png
- /data/data/####/es_openbank_mobile.png
- /data/data/####/es_univia_unicajamovil.png
- /data/data/####/eu.netinfo.colpatria.system.png
- /data/data/####/eu_unicreditgroup_hvbapptan.png
- /data/data/####/finansbank_enpara.png
- /data/data/####/fr.banquepopulaire.cyberplus.png
- /data/data/####/fr.creditagricole.androidapp.png
- /data/data/####/fr.lcl.android.customerarea.png
- /data/data/####/index.html
- /data/data/####/io_cex_app_prod.png
- /data/data/####/it.bnl.apps.banking.png
- /data/data/####/it.bnl.apps.enterprise.bnlpay.png
- /data/data/####/it.bpc.proconl.mbplus.png
- /data/data/####/it.copergmps.rt.pf.android.sp.bmps.png
- /data/data/####/it.gruppocariparma.nowbanking.png
- /data/data/####/it.ingdirect.app.png
- /data/data/####/it.nogood.container.png
- /data/data/####/it.popso.SCRIGNOapp.png
- /data/data/####/mobi.societegenerale.mobile.lappli.png
- /data/data/####/mobile_santander_de.png
- /data/data/####/my_com.hsbc_hsbcmalaysia.png
- /data/data/####/my_com_maybank2u_m2umobile.png
- /data/data/####/net.bnpparibas.mescomptes.png
- /data/data/####/net_bitstamp_app.png
- /data/data/####/org.banksa.bank.png
- /data/data/####/org.bom.bank.png
- /data/data/####/org.stgeorge.bank.png
- /data/data/####/org.westpac.bank.png
- /data/data/####/org_electrum_electrum.png
- /data/data/####/payload.apk
- /data/data/####/piuk_blockchain_android.png
- /data/data/####/pl_aliorbank_aib.png
- /data/data/####/pl_bps_bankowoscmobilna.png
- /data/data/####/pl_bzwbk_bzwbk24.png
- /data/data/####/pl_envelobank_aplikacja.png
- /data/data/####/pl_ing_mojeing.png
- /data/data/####/pl_mbank.png
- /data/data/####/pl_noblebank_mobile.png
- /data/data/####/pl_pkobp_iko.png
- /data/data/####/pl_raiffeisen_nfc.png
- /data/data/####/posteitaliane.posteapp.apppostepay.png
- /data/data/####/pref_name_setting.xml
- /data/data/####/pref_name_setting.xml.bak
- /data/data/####/pref_name_setting.xml.bak (deleted)
- /data/data/####/prefs30.xml
- /data/data/####/softax_pekao_powerpay.png
- /data/data/####/style.css
- /data/data/####/tr_com_sekerbilisim_mbank.png
- /data/data/####/uk_co_santander_santanderUK.png
- /data/data/####/uk_co_tsb_newmobilebank.png
- /data/data/####/us_zoom_videomeetings.png
- /data/data/####/wit_android_bcpBankingApp_millenniumPL.png
- /data/data/####/www_ingdirect_nativeframe.png
- /data/media/####/8nOCeTKaSSHbFx3PVHFtizbpbsXVlhJY75Pl3uwG.zip
- /data/misc/####/primary.prof
Другие:
Получает информацию о сети.
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
Перехватывает уведомления.
Запрашивает разрешение на отображение системных уведомлений.
