Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.BankBot.Coper.1.origin
Перехватывает входящие SMS и прекращает процесс их передачи обработчикам других приложений.
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) www.ip####.com:80
- UDP(NTP) 2.and####.p####.####.org:123
- TCP(TLS/1.0) s####.g.doublec####.net:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) csp.withgo####.com:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) p####.google####.com:443
- TCP(TLS/1.0) pla####.googleu####.com:443
- TCP(TLS/1.0) rr1---s####.g####.com:443
- TCP(TLS/1.0) rr5---s####.g####.com:443
- TCP(TLS/1.0) scanwor####.xyz:443
- TCP(TLS/1.0) www.google-####.com:443
- TCP(TLS/1.2) www.go####.nl:443
- TCP(TLS/1.2) p####.google####.com:443
- UDP p####.google####.com:443
Запросы DNS:
- 2.and####.p####.####.org
- and####.a####.go####.com
- bestsca####.xyz
- csp.withgo####.com
- f####.gst####.com
- i.y####.com
- ipscanb####.xyz
- ipscanb####.xyz.8.####.8
- ipscanw####.xyz
- ipscanw####.xyz.8.####.8
- ipworld####.xyz
- ipworld####.xyz.8.####.8
- m####.go####.com
- p####.go####.com
- p####.google####.com
- pla####.google####.com
- pla####.googleu####.com
- rr1---s####.g####.com
- rr5---s####.g####.com
- s####.g.doublec####.net
- scanipw####.xyz
- scanipw####.xyz.8.####.8
- scanwor####.xyz
- scanwor####.xyz
- scanwor####.xyz.8.####.8
- ssl.gst####.com
- www.go####.com
- www.go####.nl
- www.google-####.com
- www.gst####.com
- www.ip####.com
Запросы HTTP GET:
- www.ip####.com/json
Запросы HTTP POST:
- scanwor####.xyz:443/NmE0N2YwOWEzMTM3/
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/00c740ede7956797_0
- /data/data/####/03cf9cd1a169bca2_0
- /data/data/####/03e43ad1522445c1_0
- /data/data/####/06714f3407ba0932_0
- /data/data/####/081230fd8f9a9fed_0
- /data/data/####/09d0db71ddd012c7_0
- /data/data/####/0c493619cae19002_0
- /data/data/####/0e6da4e1bc30815b_0
- /data/data/####/0edfa6bc7e1421ea_0
- /data/data/####/0edfa6bc7e1421ea_1
- /data/data/####/11540761af3a519c_0
- /data/data/####/120277b6ae6ec8dc_0
- /data/data/####/17f476fc8e3917b7_0
- /data/data/####/1be4d613ecade08c_0
- /data/data/####/1be65d69df040300_0
- /data/data/####/23b8e40e0b70be44_0
- /data/data/####/23bcb3dd8a812429_0
- /data/data/####/242adb4eacbb6172_0
- /data/data/####/244a41268bfa758c_0
- /data/data/####/249517f2f7d373b4_0 (deleted)
- /data/data/####/25ad6162833e67d6_0
- /data/data/####/2940195bd9870d6e_0
- /data/data/####/2940195bd9870d6e_1
- /data/data/####/29ef0b4ac80b9bc7_0
- /data/data/####/2d04aa8da972511e_0
- /data/data/####/2e373503478918cd_0
- /data/data/####/2e97ba7efc230b08_0
- /data/data/####/2ff60ac0e90cff84_0
- /data/data/####/3077bd407048e354_0
- /data/data/####/30cc49ff6c315734_0
- /data/data/####/363bb333547d7258_0
- /data/data/####/38ad663ff3055f2c_0
- /data/data/####/38ee994682ccf2ef_0
- /data/data/####/392ffabe4dfde790_0
- /data/data/####/392ffabe4dfde790_1
- /data/data/####/3aeae3190b4f9b7b_0
- /data/data/####/3bcbdf8cc74b31e1_0
- /data/data/####/3bdeb10fdd5f2be4_0
- /data/data/####/3d1fc83a4962231d_0 (deleted)
- /data/data/####/40265b2dfb4d837a_0 (deleted)
- /data/data/####/409c496c601dfc42_0
- /data/data/####/40b13b3b4b366dbe_0
- /data/data/####/4144c97b4fec1a71_0
- /data/data/####/436f09df098a36d9_0
- /data/data/####/468ddc04260b4b9e_0
- /data/data/####/473853ff89457950_0
- /data/data/####/4aefcdb9099baf0a_0
- /data/data/####/4ecb842b8914faac_0
- /data/data/####/4fb7522f92bb8c4b_0
- /data/data/####/50a8ab4b32081d26_0
- /data/data/####/50deed2268bba660_0
- /data/data/####/52d8029d21395a01_0
- /data/data/####/53d64a855286a67c_0
- /data/data/####/56b75f1484c34603_0
- /data/data/####/56c61c2a76d02d5c_0
- /data/data/####/57aa965b97e8bf4c_0
- /data/data/####/586d5780ec6e0f04_0
- /data/data/####/5925767d3a515f69_0
- /data/data/####/5b40aa17ff4c5023_0
- /data/data/####/5bd9f46f1fd1ea81_0
- /data/data/####/6153eb78c643090f_0
- /data/data/####/623cab349bac0d30_0
- /data/data/####/642fded6d61393f7_0
- /data/data/####/65159cf6211c3b2d_0
- /data/data/####/67edb228f005c7c1_0
- /data/data/####/68038c1553333dc9_0
- /data/data/####/6807566eb4f39f1c_0
- /data/data/####/68599087dde8cceb_0
- /data/data/####/6a8e6394a77fbf12_0
- /data/data/####/6b8db839d233b4b6_0
- /data/data/####/6ed36b2bc02a5552_0
- /data/data/####/71bda79f61c65f45_0
- /data/data/####/745db79b340bba52_0
- /data/data/####/754a39e48b9fbd21_0
- /data/data/####/757a06515a56e6ce_0
- /data/data/####/768414248dc41cf5_0
- /data/data/####/76dd66f2a4527dfa_0
- /data/data/####/7bcb76592f9c5b94_0
- /data/data/####/7bd94a49eb68b6fe_0
- /data/data/####/7e5b3239f4f964f9_0
- /data/data/####/80c21a84523226a8_0
- /data/data/####/81ac4056e5381c1d_0
- /data/data/####/84f97e2db6216dea_0
- /data/data/####/889c244ead8f5d31_0
- /data/data/####/8953b190443d8068_0
- /data/data/####/8f139fcbe2d029cb_0
- /data/data/####/8f3c9636ecbccd2d_0
- /data/data/####/8f918dda20f6fa84_0
- /data/data/####/90eddf802f7869f6_0
- /data/data/####/93f3faa71c687948_0
- /data/data/####/94667d59892e7286_0 (deleted)
- /data/data/####/946f0970a5d3ba26_0
- /data/data/####/980bd881d6d63f8c_0
- /data/data/####/9878e8a11201c5b0_0
- /data/data/####/98b4958aaa3228c5_0
- /data/data/####/9b26da1bcd1f3986_0
- /data/data/####/9db51939af91df0c_0
- /data/data/####/9db51de94a9c33de_0
- /data/data/####/9fd968bb494460be_0
- /data/data/####/Cookies-journal
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/a1042299b85f29ae_0
- /data/data/####/a127ee83544b5bb6_0
- /data/data/####/a127ee83544b5bb6_1
- /data/data/####/a1bf94115e3cd5c5_0
- /data/data/####/a216f887dbddd2f3_0
- /data/data/####/a84d413268f03530_0
- /data/data/####/a88dc0deceb879c6_0
- /data/data/####/a8f24e0bb68e211c_0
- /data/data/####/ac34dc9afb6aabf0_0
- /data/data/####/af4a85f6734b23ae_0
- /data/data/####/b04fe7f8f568490f_0
- /data/data/####/b14b0155f4805d0f_0
- /data/data/####/b20feef273f4f1cd_0
- /data/data/####/b6dc05efb4070ddd_0
- /data/data/####/b71bc354de879360_0
- /data/data/####/b7673c244c6d832f_0
- /data/data/####/b92ff9ede3445c94_0
- /data/data/####/bd3dff5710dd7048_0
- /data/data/####/bfd915d09c95523d_0
- /data/data/####/c42262c4af646807_0
- /data/data/####/c515dde4b4fb4794_0
- /data/data/####/c6435c1f1ec8aab6_0
- /data/data/####/c6b174bb5e17a9bf_0
- /data/data/####/c730b0bb137c7934_0
- /data/data/####/c8e7c8ecef3221d8_0
- /data/data/####/cc403231bf79bcda_0
- /data/data/####/cd684449e0660af5_0
- /data/data/####/cf68203e3b8174bf_0 (deleted)
- /data/data/####/com.whitehouseugi_preferences.xml
- /data/data/####/d0f4ccf8946e1ae7_0
- /data/data/####/d43c0251f67e5a91_0
- /data/data/####/d46f6a6cc2fd415f_0 (deleted)
- /data/data/####/d49faa2a0fdff263_0
- /data/data/####/d5dd85827e455085_0
- /data/data/####/d6bc88729b27d655_0
- /data/data/####/d804d56e236b2c17_0
- /data/data/####/d90ca117047c912e_0
- /data/data/####/db2ffa01e31252f7_0
- /data/data/####/dcac95927921395d_0
- /data/data/####/dcfc586da36dc59d_0
- /data/data/####/dcfc586da36dc59d_1
- /data/data/####/dd194c74825d4277_0
- /data/data/####/df9cf2dd862aa51b_0
- /data/data/####/dfb0b8babfe96627_0
- /data/data/####/e150e1ff0b23edea_0
- /data/data/####/e3020a1555b9717e_0
- /data/data/####/e4d34e46f63cd7cf_0
- /data/data/####/e7671a3a577678f3_0
- /data/data/####/e963b7a19f8610a0_0
- /data/data/####/eae6017352f6e834_0
- /data/data/####/eb78b57b7258a7ef_0
- /data/data/####/eba3c33167392696_0
- /data/data/####/ee5fbbf5ab358fed_0
- /data/data/####/eebf4645c184381b_0
- /data/data/####/ef965ef7512d29f4_0
- /data/data/####/f554859bc5ce3d24_0
- /data/data/####/f554859bc5ce3d24_1
- /data/data/####/f5b1f6de51cdaa24_0
- /data/data/####/f5bcf6a7934abcf7_0
- /data/data/####/f628038c42273d9f_0
- /data/data/####/f8f2535d9328b6a7_0
- /data/data/####/fa2101b6323d2f31_0
- /data/data/####/fa4ea762997c0f94_0
- /data/data/####/fac873ba5e533702_0
- /data/data/####/fb2cf65ec3d8f5e0_0 (deleted)
- /data/data/####/fceb823a30dde2c2_0
- /data/data/####/fd49c5c418b1c05b_0
- /data/data/####/fe1e98445dbe77fd_0
- /data/data/####/ff1c3f9fb0ecc55c_0
- /data/data/####/gjlkkoa
- /data/data/####/gjlkkoa.dex
- /data/data/####/gjlkkoa.dex.flock (deleted)
- /data/data/####/https_play.google.com_0.localstorage-journal
- /data/data/####/https_www.google.com_0.localstorage-journal
- /data/data/####/index
- /data/data/####/kl.txt
- /data/data/####/main.xml
- /data/data/####/main.xml.bak
- /data/data/####/metrics_guid
- /data/data/####/proc_auxv
- /data/data/####/the-real-index
Другие:
Загружает динамические библиотеки:
- libOcjukAuLDF
Использует следующие алгоритмы для шифрования данных:
- AES-ECB-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Получает информацию об отправленых/принятых SMS.
Перехватывает уведомления.
