Android.SpyMax.310

Техническая информация

Вредоносные функции:

Выполняет код следующих детектируемых угроз:

Android.SpyMax.291
Android.SpyMax.37.origin

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) 64.2####.164.105:80
TCP(HTTP/1.1) connect####.gst####.com:80
TCP(TLS/1.0) connect####.gst####.com:443
TCP(TLS/1.0) gmscomp####.google####.com:443
TCP(TLS/1.0) www.gst####.com:443
TCP(TLS/1.0) and####.google####.com:443
TCP(TLS/1.0) rr2---s####.g####.com:443
TCP(TLS/1.0) 64.2####.164.106:443
TCP(TLS/1.0) pla####.google####.com:443
TCP(TLS/1.0) sqs.ap-nort####.amazo####.com:443
TCP(TLS/1.2) and####.google####.com:443
UDP www.gst####.com:443
UDP and####.google####.com:443
TCP 38.2####.178.116:7771

Запросы DNS:

116.178.207.####.arpa
and####.a####.go####.com
and####.cli####.go####.com
and####.google####.com
connect####.gst####.com
gmscomp####.google####.com
m####.go####.com
p####.google####.com
pla####.google####.com
pla####.googleu####.com
rr2---s####.g####.com
rr9---s####.g####.com
sqs.ap-nort####.amazo####.com
www.gst####.com

Запросы HTTP POST:

sqs.ap-nort####.amazo####.com:443/664144478517/report_queue_svc

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/.anywhere_asthma_contract.meta
/data/data/####/065CIH2I0GVJ0IYRX8H2PDLM12CVXV2.dex
/data/data/####/065CIH2I0GVJ0IYRX8H2PDLM12CVXV2.dex.flock (deleted)
/data/data/####/065CIH2I0GVJ0IYRX8H2PDLM12CVXV2.zip
/data/data/####/0DXHZZOFDG6OI4GEILFT0AK6DA15925.dex
/data/data/####/0DXHZZOFDG6OI4GEILFT0AK6DA15925.dex.flock (deleted)
/data/data/####/0DXHZZOFDG6OI4GEILFT0AK6DA15925.zip
/data/data/####/120046
/data/data/####/19
/data/data/####/2023-11-10PM031641.str
/data/data/####/2023-11-10PM031704.hkr
/data/data/####/2023-11-10PM031719.so.hkr
/data/data/####/2023-11-10PM031749.hkr
/data/data/####/2023-11-10PM031753.str
/data/data/####/2023-11-10PM031805.hkr
/data/data/####/2023-11-10PM031819.so.hkr
/data/data/####/2023-11-10PM031834.so.hkr
/data/data/####/2023-11-10PM031839.str
/data/data/####/220046
/data/data/####/29
/data/data/####/4GSA2RAOJ93LV3H1824NP7HC940094U.dex
/data/data/####/4GSA2RAOJ93LV3H1824NP7HC940094U.dex.flock (deleted)
/data/data/####/4GSA2RAOJ93LV3H1824NP7HC940094U.zip
/data/data/####/64I90AX22KO3FKYMR1WHMTX5ITE0N13.dex
/data/data/####/64I90AX22KO3FKYMR1WHMTX5ITE0N13.dex.flock (deleted)
/data/data/####/64I90AX22KO3FKYMR1WHMTX5ITE0N13.zip
/data/data/####/91HY9V0Y4CETFV3HC5TBBWIM587ECGNK.dex
/data/data/####/91HY9V0Y4CETFV3HC5TBBWIM587ECGNK.dex.flock (deleted)
/data/data/####/C5P1NRGF5OYOE4G2I171WUWELY99D2D.dex
/data/data/####/C5P1NRGF5OYOE4G2I171WUWELY99D2D.dex.flock (deleted)
/data/data/####/C5P1NRGF5OYOE4G2I171WUWELY99D2D.zip
/data/data/####/CX95NBSF9CU4USS2IDZ14ESQHQ1XPET.dex
/data/data/####/CX95NBSF9CU4USS2IDZ14ESQHQ1XPET.dex.flock (deleted)
/data/data/####/CX95NBSF9CU4USS2IDZ14ESQHQ1XPET.zip
/data/data/####/GIKF2GRC0IA116OWT3YV07FNOV4U93H.dex
/data/data/####/GIKF2GRC0IA116OWT3YV07FNOV4U93H.dex.flock (deleted)
/data/data/####/GIKF2GRC0IA116OWT3YV07FNOV4U93H.zip
/data/data/####/H7PGNLKHTJJQMR5LA4BS940CLGL7M4U.dex
/data/data/####/H7PGNLKHTJJQMR5LA4BS940CLGL7M4U.dex.flock (deleted)
/data/data/####/H7PGNLKHTJJQMR5LA4BS940CLGL7M4U.zip
/data/data/####/KI4JUWBCGEULD288PJIBSV3J4302HJH.dex
/data/data/####/KI4JUWBCGEULD288PJIBSV3J4302HJH.dex.flock (deleted)
/data/data/####/KI4JUWBCGEULD288PJIBSV3J4302HJH.zip
/data/data/####/TN1OBXCH1R7EYZH9A0RSHS0SDKP3Q0I.dex
/data/data/####/TN1OBXCH1R7EYZH9A0RSHS0SDKP3Q0I.dex.flock (deleted)
/data/data/####/TN1OBXCH1R7EYZH9A0RSHS0SDKP3Q0I.zip
/data/data/####/VTB6X3M7J99C413N8APM7MQUBYF1KAS.dex
/data/data/####/VTB6X3M7J99C413N8APM7MQUBYF1KAS.dex.flock (deleted)
/data/data/####/VTB6X3M7J99C413N8APM7MQUBYF1KAS.zip
/data/data/####/Web Data
/data/data/####/Web Data-journal
/data/data/####/WebViewChromiumPrefs.xml
/data/data/####/anywhere.asthma.contract.xml
/data/data/####/anywhere.asthma.contract_preferences.xml
/data/data/####/empty_classes.dex
/data/data/####/empty_classes.zip
/data/data/####/lastReportSendTimeFile
/data/data/####/metrics_guid
/data/data/####/proc_auxv
/data/data/####/sealed1.obk
/data/data/####/sealeh.bdc
/data/data/####/stat1
/data/data/####/webview_data.lock
/data/data/####/working
/data/media/####/log-2023-11-10.txt

Другие:

Запускает следующие shell-скрипты:

chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/065CIH2I0GVJ0IYRX8H2PDLM12CVXV2.zip.cur.prof
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/0DXHZZOFDG6OI4GEILFT0AK6DA15925.zip.cur.prof
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/4GSA2RAOJ93LV3H1824NP7HC940094U.zip.cur.prof
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/64I90AX22KO3FKYMR1WHMTX5ITE0N13.zip.cur.prof
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/C5P1NRGF5OYOE4G2I171WUWELY99D2D.zip.cur.prof
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/CX95NBSF9CU4USS2IDZ14ESQHQ1XPET.zip.cur.prof
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/GIKF2GRC0IA116OWT3YV07FNOV4U93H.zip.cur.prof
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/H7PGNLKHTJJQMR5LA4BS940CLGL7M4U.zip.cur.prof
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/KI4JUWBCGEULD288PJIBSV3J4302HJH.zip.cur.prof
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/TN1OBXCH1R7EYZH9A0RSHS0SDKP3Q0I.zip.cur.prof
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/VTB6X3M7J99C413N8APM7MQUBYF1KAS.zip.cur.prof
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/065CIH2I0GVJ0IYRX8H2PDLM12CVXV2.odex
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/065CIH2I0GVJ0IYRX8H2PDLM12CVXV2.vdex
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/0DXHZZOFDG6OI4GEILFT0AK6DA15925.odex
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/0DXHZZOFDG6OI4GEILFT0AK6DA15925.vdex
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/4GSA2RAOJ93LV3H1824NP7HC940094U.odex
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/4GSA2RAOJ93LV3H1824NP7HC940094U.vdex
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/64I90AX22KO3FKYMR1WHMTX5ITE0N13.odex
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/64I90AX22KO3FKYMR1WHMTX5ITE0N13.vdex
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/C5P1NRGF5OYOE4G2I171WUWELY99D2D.odex
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/C5P1NRGF5OYOE4G2I171WUWELY99D2D.vdex
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/CX95NBSF9CU4USS2IDZ14ESQHQ1XPET.odex
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/CX95NBSF9CU4USS2IDZ14ESQHQ1XPET.vdex
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/GIKF2GRC0IA116OWT3YV07FNOV4U93H.odex
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/GIKF2GRC0IA116OWT3YV07FNOV4U93H.vdex
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/H7PGNLKHTJJQMR5LA4BS940CLGL7M4U.odex
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/H7PGNLKHTJJQMR5LA4BS940CLGL7M4U.vdex
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/KI4JUWBCGEULD288PJIBSV3J4302HJH.odex
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/KI4JUWBCGEULD288PJIBSV3J4302HJH.vdex
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/TN1OBXCH1R7EYZH9A0RSHS0SDKP3Q0I.odex
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/TN1OBXCH1R7EYZH9A0RSHS0SDKP3Q0I.vdex
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/VTB6X3M7J99C413N8APM7MQUBYF1KAS.odex
chmod 777 /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/oat/arm/VTB6X3M7J99C413N8APM7MQUBYF1KAS.vdex
cp /data/user/0/<Package>/app_payload_lib/empty_classes.dex /data/user/0/<Package>/app_payload_lib/<Package>/91HY9V0Y4CETFV3HC5TBBWIM587ECGNK.dex
cp /data/user/0/<Package>/app_payload_lib/empty_classes.zip /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/065CIH2I0GVJ0IYRX8H2PDLM12CVXV2.zip
cp /data/user/0/<Package>/app_payload_lib/empty_classes.zip /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/0DXHZZOFDG6OI4GEILFT0AK6DA15925.zip
cp /data/user/0/<Package>/app_payload_lib/empty_classes.zip /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/4GSA2RAOJ93LV3H1824NP7HC940094U.zip
cp /data/user/0/<Package>/app_payload_lib/empty_classes.zip /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/64I90AX22KO3FKYMR1WHMTX5ITE0N13.zip
cp /data/user/0/<Package>/app_payload_lib/empty_classes.zip /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/C5P1NRGF5OYOE4G2I171WUWELY99D2D.zip
cp /data/user/0/<Package>/app_payload_lib/empty_classes.zip /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/CX95NBSF9CU4USS2IDZ14ESQHQ1XPET.zip
cp /data/user/0/<Package>/app_payload_lib/empty_classes.zip /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/GIKF2GRC0IA116OWT3YV07FNOV4U93H.zip
cp /data/user/0/<Package>/app_payload_lib/empty_classes.zip /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/H7PGNLKHTJJQMR5LA4BS940CLGL7M4U.zip
cp /data/user/0/<Package>/app_payload_lib/empty_classes.zip /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/KI4JUWBCGEULD288PJIBSV3J4302HJH.zip
cp /data/user/0/<Package>/app_payload_lib/empty_classes.zip /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/TN1OBXCH1R7EYZH9A0RSHS0SDKP3Q0I.zip
cp /data/user/0/<Package>/app_payload_lib/empty_classes.zip /data/user/0/<Package>/app_payload_lib/<Package>_empty_classes/VTB6X3M7J99C413N8APM7MQUBYF1KAS.zip
dex2oat --dex-file=/data/user/0/<Package>/app_payload_lib/<Package>/91HY9V0Y4CETFV3HC5TBBWIM587ECGNK.dex --oat-file=/data/user/0/<Package>/cache/<Package>/91HY9V0Y4CETFV3HC5TBBWIM587ECGNK.dex --compiler-filter=verify-none --instruction-set=x86
getprop ro.dalvik.vm.isa.arm
getprop ro.dalvik.vm.isa.arm64
getprop ro.miui.ui.version.name
sh -c dex2oat --dex-file=/data/user/0/<Package>/app_payload_lib/<Package>/91HY9V0Y4CETFV3HC5TBBWIM587ECGNK.dex --oat-file=/data/user/0/<Package>/cache/<Package>/91HY9V0Y4CETFV3HC5TBBWIM587ECGNK.dex --compiler-filter=verify-none --instruction-set=x86

Загружает динамические библиотеки:

libcovault-appsec

Использует права администратора.

Использует специальную библиотеку для скрытия исполняемого байт-кода.

Осуществляет доступ к интерфейсам записи аудио/видео.

Получает информацию о сети.

Получает информацию об активных администраторах устройства.

Получает информацию об установленных приложениях.

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Запрашивает разрешение на отображение системных уведомлений.

Имеет подозрительные повреждения, типичные для вредоносных файлов.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней