Техническая информация
Вредоносные функции:
Детект на основе машинного обучения.
Содержит типичный для банковских троянов/вирусов код.
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(TLS/1.0) digital####.google####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) 1####.194.179.152:443
- TCP(TLS/1.0) 64.2####.165.100:443
- TCP(TLS/1.0) 1####.177.14.94:443
- TCP(TLS/1.2) 64.2####.165.100:443
- TCP(TLS/1.2) 1####.177.14.94:443
- UDP digital####.google####.com:443
Запросы DNS:
- and####.cli####.go####.com
- digital####.google####.com
- pla####.googleu####.com
- www.go####.com
- www.google####.com
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/Checkin.xml
- /data/data/####/Checkin.xml.bak
- /data/data/####/DownloadService.xml
- /data/data/####/GoogleAnalyticsPlayLogs.xml
- /data/data/####/accounts.xml
- /data/data/####/ads1583052463.dex
- /data/data/####/ads1583052463.dex.flock (deleted)
- /data/data/####/ads1583052463.jar
- /data/data/####/auth.account.state.exp.properties
- /data/data/####/auth.proximity.permit_store
- /data/data/####/auth.proximity.permit_store-journal
- /data/data/####/auth_recovery_state.xml
- /data/data/####/com.google.android.gcm.xml
- /data/data/####/com.google.android.gmt.auth.be.proximity.Proxim...es.xml
- /data/data/####/copresence_ks
- /data/data/####/device_connections.db-journal
- /data/data/####/downloads.db-journal
- /data/data/####/games.shared_prefs.xml
- /data/data/####/games.shared_prefs.xml.bak
- /data/data/####/geofencer_ks
- /data/data/####/geofencer_state_list
- /data/data/####/gms.people.xml
- /data/data/####/init.initialized_version.xml
- /data/data/####/keys.db
- /data/data/####/keys.db-journal
- /data/data/####/mdm.xml
- /data/data/####/nlp_ck
- /data/data/####/ns.db
- /data/data/####/ns.db-journal
- /data/data/####/peoplelog.db-journal
- /data/data/####/places_keyfile
- /data/data/####/playlog.db
- /data/data/####/playlog.db-journal (deleted)
- /data/data/####/playlog.db-shm (deleted)
- /data/data/####/playlog.db-wal
- /data/data/####/playlog.db-wal (deleted)
- /data/data/####/plus.db-journal
- /data/data/####/pluscontacts.db-journal
- /data/data/####/proc_auxv
- /data/data/####/reminders.db-journal
- /data/data/####/rmq.db-journal
Другие:
Загружает динамические библиотеки:
- libAppDataSearch
- libconscrypt_gmscore_jni
- libgmscore
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Осуществляет доступ к интерфейсу камеры.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об активных администраторах устройства.
Получает информацию о привязанных к устройству аккаунтах.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
