Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.SmsSpy.11445
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(TLS/1.0) 64.2####.161.95:443
- TCP(TLS/1.0) www.e####.go.kr:443
- TCP(TLS/1.0) digital####.google####.com:443
- TCP(TLS/1.0) rr10---####.g####.com:443
- TCP(TLS/1.0) 1####.250.150.113:443
- TCP(TLS/1.0) rr11---####.g####.com:443
- TCP(TLS/1.0) 64.2####.164.94:443
- TCP(TLS/1.2) 64.2####.164.94:443
- TCP(TLS/1.2) 64.2####.161.95:443
- TCP(TLS/1.2) 1####.250.150.113:443
- TCP(TLS/1.2) digital####.google####.com:443
- UDP 64.2####.161.95:443
Запросы DNS:
- and####.cli####.go####.com
- digital####.google####.com
- https:/####.go####.com
- https:/####.go####.com.####.8
- https:/####.googl####.net
- https:/####.googl####.net.####.8
- m####.go####.com
- md####.google####.com
- pla####.googleu####.com
- rr10---####.g####.com
- rr11---####.g####.com
- www.e####.go.kr
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/00aed76be9b6287d_0
- /data/data/####/00aed76be9b6287d_1
- /data/data/####/020a23cc8402f7fe_0
- /data/data/####/020a23cc8402f7fe_1
- /data/data/####/03bc09a31c6eb2bf_0
- /data/data/####/07c9239642ae0d89_0
- /data/data/####/07c9239642ae0d89_1
- /data/data/####/0836c5b50ff12c83_0
- /data/data/####/0836c5b50ff12c83_1
- /data/data/####/085c52e0afcd382c_0
- /data/data/####/0a51e6459750c0d0_0
- /data/data/####/0a51e6459750c0d0_0 (deleted)
- /data/data/####/0b340315e62ccc26_0
- /data/data/####/0b340315e62ccc26_1
- /data/data/####/0b3e0d5941e715bd_0
- /data/data/####/0b3e0d5941e715bd_1
- /data/data/####/0b47ef3ea8030595_0
- /data/data/####/0b47ef3ea8030595_1
- /data/data/####/0b8d515d32c21a3d_0
- /data/data/####/0b8d515d32c21a3d_1
- /data/data/####/0d46b26887bb0a79_0
- /data/data/####/11cfa3934ed5d178_0
- /data/data/####/11d9721db9b4d9e1_0
- /data/data/####/13ea066146516559_0
- /data/data/####/13ea066146516559_1
- /data/data/####/145b103725f4ab8d_0
- /data/data/####/1b30326747c94ee6_0
- /data/data/####/1cb5f4597acc6ec5_0
- /data/data/####/1e9870cc87f403ed_0
- /data/data/####/25138917ea5cefa2_0
- /data/data/####/25138917ea5cefa2_1
- /data/data/####/2b53c1c3328f57c0_0
- /data/data/####/2d229d7d5588cc7b_0
- /data/data/####/2e9b5c7df1249506_0
- /data/data/####/3645aed62af15b5a_0
- /data/data/####/39b6efb8acb33829_0
- /data/data/####/3e4786b98573589e_0
- /data/data/####/3fae1c367c3e3cdc_0
- /data/data/####/407f53a1b4d3b0d7_0
- /data/data/####/407f53a1b4d3b0d7_1
- /data/data/####/4166227ef96ab8b3_0
- /data/data/####/42e0722b4ffdcf63_0
- /data/data/####/42fd5b4968ae9a7a_0
- /data/data/####/42fd5b4968ae9a7a_1
- /data/data/####/470ca57b38e369cc_0
- /data/data/####/470ca57b38e369cc_1
- /data/data/####/4a5af39f523d7f7d_0
- /data/data/####/4c64ecf55696a34e_0
- /data/data/####/4c64ecf55696a34e_1
- /data/data/####/4fbc183f5d2c5a3d_0
- /data/data/####/50d7487781235035_0
- /data/data/####/50d7487781235035_1
- /data/data/####/535accd2ea4ddaba_0
- /data/data/####/53fcc6c6f5ff2374_0
- /data/data/####/53fcc6c6f5ff2374_1
- /data/data/####/54874d2b0d50bdb2_0
- /data/data/####/54874d2b0d50bdb2_1
- /data/data/####/58f8abb7de01cd0c_0
- /data/data/####/5b2f5c2fe21213ab_0
- /data/data/####/5b2f5c2fe21213ab_1
- /data/data/####/5c3b01f2ab86e74a_0
- /data/data/####/5c3b01f2ab86e74a_1
- /data/data/####/644881480d3f98cc_0
- /data/data/####/7405e5171f591d53_0
- /data/data/####/7491f58179513586_0
- /data/data/####/76a62810e8dc20f9_0
- /data/data/####/76a62810e8dc20f9_1
- /data/data/####/81517a0cff106e78_0
- /data/data/####/81517a0cff106e78_1
- /data/data/####/82bfdf06ce7c56f4_0
- /data/data/####/84c564e83d8c4f04_0
- /data/data/####/86a430f807bca3a1_0
- /data/data/####/86a430f807bca3a1_1
- /data/data/####/88392357ed11b79b_0
- /data/data/####/88a126643933fce3_0
- /data/data/####/8fc0992c685aebf8_0
- /data/data/####/906942a7a6746e5b_0
- /data/data/####/98d0f3ee1733163d_0
- /data/data/####/9fb5a16e1379ab52_0
- /data/data/####/9fb5a16e1379ab52_1
- /data/data/####/Cookies-journal
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/a0305ef7fba9e5ac_0
- /data/data/####/a2ab0b681f481129_0
- /data/data/####/a2ab0b681f481129_1
- /data/data/####/a30034f610c244ac_0
- /data/data/####/a3402852028b1597_0
- /data/data/####/a84a1b4caa3e1141_0
- /data/data/####/aa7b84ca720def17_0
- /data/data/####/aa7b84ca720def17_1
- /data/data/####/aaef219fed39ff8c_0
- /data/data/####/ad5bd91cf1d89b79_0
- /data/data/####/af7cd1337f33cace_0
- /data/data/####/af7cd1337f33cace_1
- /data/data/####/b03c18911c6af4ba_0
- /data/data/####/b03c18911c6af4ba_1
- /data/data/####/b49c88cffee6ba20_0
- /data/data/####/b71d8578ab8cf8d6_0
- /data/data/####/b71d8578ab8cf8d6_1
- /data/data/####/bff69795833ca56f_0
- /data/data/####/c3cbc26057b6a5c1_0
- /data/data/####/c3cbc26057b6a5c1_1
- /data/data/####/ca970905bdf821d7_0
- /data/data/####/ca970905bdf821d7_1
- /data/data/####/cbf0146336dd01d0_0
- /data/data/####/cd50819a0be4aaef_0
- /data/data/####/ceda6fb320c4820a_0
- /data/data/####/classes.dex
- /data/data/####/classes.oat
- /data/data/####/classes.oat.flock (deleted)
- /data/data/####/com.xoemdox.mbuaome_preferences.xml
- /data/data/####/d245ab7991ec64ba_0
- /data/data/####/d38769ffaf34be8f_0
- /data/data/####/d38769ffaf34be8f_1
- /data/data/####/d5932c451667a3e0_0
- /data/data/####/d5b8af0e9be0b6c5_0
- /data/data/####/dd233e4151849503_0
- /data/data/####/de8fe2cdf7bbebf9_0
- /data/data/####/e0c14acfca938ab4_0
- /data/data/####/e0c14acfca938ab4_1
- /data/data/####/e465becc0b7e29b2_0
- /data/data/####/e675e95d859fa5c9_0
- /data/data/####/e675e95d859fa5c9_1
- /data/data/####/ec52c25d7ba27db3_0
- /data/data/####/efacdcd148eaf235_0
- /data/data/####/efacdcd148eaf235_1
- /data/data/####/efcee2c885e1fc78_0
- /data/data/####/efcee2c885e1fc78_1
- /data/data/####/f1ab7f44092cb288_0
- /data/data/####/f1ab7f44092cb288_1
- /data/data/####/f57bf25bf2270834_0
- /data/data/####/f8b6835e42ae0aa7_0
- /data/data/####/f8b6835e42ae0aa7_1
- /data/data/####/f8d264e75323784f_0
- /data/data/####/fad0428f8b48d879_0
- /data/data/####/fe3c4f8543bc989b_0
- /data/data/####/fe3c4f8543bc989b_1
- /data/data/####/index
- /data/data/####/l00a724c7.so
- /data/data/####/metrics_guid
- /data/data/####/pref.xml
- /data/data/####/the-real-index
Другие:
Запускает следующие shell-скрипты:
- chmod 755 /data/user/0/<Package>/files/.ss/l00a724c7.so
Загружает динамические библиотеки:
- l00a724c7
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
