Запускает следующие shell-скрипты:
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/065CIH2I0GVJ0IYRX8H2PDLM12CVXV2.zip.cur.prof
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/0DXHZZOFDG6OI4GEILFT0AK6DA15925.zip.cur.prof
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/4GSA2RAOJ93LV3H1824NP7HC940094U.zip.cur.prof
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/64I90AX22KO3FKYMR1WHMTX5ITE0N13.zip.cur.prof
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/C5P1NRGF5OYOE4G2I171WUWELY99D2D.zip.cur.prof
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/CX95NBSF9CU4USS2IDZ14ESQHQ1XPET.zip.cur.prof
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/GIKF2GRC0IA116OWT3YV07FNOV4U93H.zip.cur.prof
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/H7PGNLKHTJJQMR5LA4BS940CLGL7M4U.zip.cur.prof
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/KI4JUWBCGEULD288PJIBSV3J4302HJH.zip.cur.prof
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/TN1OBXCH1R7EYZH9A0RSHS0SDKP3Q0I.zip.cur.prof
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/VTB6X3M7J99C413N8APM7MQUBYF1KAS.zip.cur.prof
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/065CIH2I0GVJ0IYRX8H2PDLM12CVXV2.odex
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/065CIH2I0GVJ0IYRX8H2PDLM12CVXV2.vdex
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/0DXHZZOFDG6OI4GEILFT0AK6DA15925.odex
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/0DXHZZOFDG6OI4GEILFT0AK6DA15925.vdex
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/4GSA2RAOJ93LV3H1824NP7HC940094U.odex
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/4GSA2RAOJ93LV3H1824NP7HC940094U.vdex
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/64I90AX22KO3FKYMR1WHMTX5ITE0N13.odex
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/64I90AX22KO3FKYMR1WHMTX5ITE0N13.vdex
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/C5P1NRGF5OYOE4G2I171WUWELY99D2D.odex
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/C5P1NRGF5OYOE4G2I171WUWELY99D2D.vdex
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/CX95NBSF9CU4USS2IDZ14ESQHQ1XPET.odex
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/CX95NBSF9CU4USS2IDZ14ESQHQ1XPET.vdex
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/GIKF2GRC0IA116OWT3YV07FNOV4U93H.odex
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/GIKF2GRC0IA116OWT3YV07FNOV4U93H.vdex
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/H7PGNLKHTJJQMR5LA4BS940CLGL7M4U.odex
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/H7PGNLKHTJJQMR5LA4BS940CLGL7M4U.vdex
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/KI4JUWBCGEULD288PJIBSV3J4302HJH.odex
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/KI4JUWBCGEULD288PJIBSV3J4302HJH.vdex
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/TN1OBXCH1R7EYZH9A0RSHS0SDKP3Q0I.odex
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/TN1OBXCH1R7EYZH9A0RSHS0SDKP3Q0I.vdex
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/VTB6X3M7J99C413N8APM7MQUBYF1KAS.odex
- chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/VTB6X3M7J99C413N8APM7MQUBYF1KAS.vdex
- cp /data/user/0/<Package>/app_payload_lib/empty_classes.dex /data/user/0/<Package>/app_payload_lib/<Package>/91HY9V0Y4CETFV3HC5TBBWIM587ECGNK.dex
- cp /data/user/0/<Package>/app_payload_lib/empty_classes.zip /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/065CIH2I0GVJ0IYRX8H2PDLM12CVXV2.zip
- cp /data/user/0/<Package>/app_payload_lib/empty_classes.zip /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/0DXHZZOFDG6OI4GEILFT0AK6DA15925.zip
- cp /data/user/0/<Package>/app_payload_lib/empty_classes.zip /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/4GSA2RAOJ93LV3H1824NP7HC940094U.zip
- cp /data/user/0/<Package>/app_payload_lib/empty_classes.zip /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/64I90AX22KO3FKYMR1WHMTX5ITE0N13.zip
- cp /data/user/0/<Package>/app_payload_lib/empty_classes.zip /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/C5P1NRGF5OYOE4G2I171WUWELY99D2D.zip
- cp /data/user/0/<Package>/app_payload_lib/empty_classes.zip /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/CX95NBSF9CU4USS2IDZ14ESQHQ1XPET.zip
- cp /data/user/0/<Package>/app_payload_lib/empty_classes.zip /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/GIKF2GRC0IA116OWT3YV07FNOV4U93H.zip
- cp /data/user/0/<Package>/app_payload_lib/empty_classes.zip /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/H7PGNLKHTJJQMR5LA4BS940CLGL7M4U.zip
- cp /data/user/0/<Package>/app_payload_lib/empty_classes.zip /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/KI4JUWBCGEULD288PJIBSV3J4302HJH.zip
- cp /data/user/0/<Package>/app_payload_lib/empty_classes.zip /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/TN1OBXCH1R7EYZH9A0RSHS0SDKP3Q0I.zip
- cp /data/user/0/<Package>/app_payload_lib/empty_classes.zip /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/VTB6X3M7J99C413N8APM7MQUBYF1KAS.zip
- dex2oat --dex-file=/data/user/0/<Package>/app_payload_lib/<Package>/91HY9V0Y4CETFV3HC5TBBWIM587ECGNK.dex --oat-file=/data/user/0/<Package>/cache/<Package>/91HY9V0Y4CETFV3HC5TBBWIM587ECGNK.dex --compiler-filter=verify-none --instruction-set=x86
- getprop ro.dalvik.vm.isa.arm
- getprop ro.dalvik.vm.isa.arm64
- getprop ro.miui.ui.version.name
- sh -c dex2oat --dex-file=/data/user/0/<Package>/app_payload_lib/<Package>/91HY9V0Y4CETFV3HC5TBBWIM587ECGNK.dex --oat-file=/data/user/0/<Package>/cache/<Package>/91HY9V0Y4CETFV3HC5TBBWIM587ECGNK.dex --compiler-filter=verify-none --instruction-set=x86
Загружает динамические библиотеки:
Использует права администратора.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Осуществляет доступ к интерфейсам записи аудио/видео.
Получает информацию о сети.
Получает информацию об активных администраторах устройства.
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
Имеет подозрительные повреждения, типичные для вредоносных файлов.