Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.BankBot.675.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) mikr####.cn.com:80
- TCP(TLS/1.0) up####.wikim####.org:443
- TCP(TLS/1.0) n####.p####.cn.com:443
- TCP(TLS/1.0) altcoin####.com:443
- TCP(TLS/1.0) c####.jq####.com:443
- TCP(TLS/1.0) u####.com:443
- TCP(TLS/1.0) pla####.google####.com:443
- TCP(TLS/1.0) connect####.gst####.com:443
- TCP(TLS/1.0) ads.twi####.com:443
- TCP(TLS/1.0) t####.co:443
- TCP(TLS/1.0) w####.okx.com:443
- TCP(TLS/1.0) cdn.jsde####.net:443
- TCP(TLS/1.0) gmscomp####.google####.com:443
- TCP(TLS/1.0) blarste####.xyz:443
- TCP(TLS/1.0) c####.cloudf####.com:443
- TCP(TLS/1.0) kit.fontawe####.com:443
- TCP(TLS/1.0) cdn.cindic####.com:443
- TCP(TLS/1.2) connect####.gst####.com:443
- TCP(TLS/1.2) 74.1####.131.101:443
- TCP(TLS/1.2) gmscomp####.google####.com:443
- UDP gmscomp####.google####.com:443
Запросы DNS:
- altcoin####.com
- analy####.twi####.com
- appas####.android####.net
- blarste####.xyz
- c####.cloudf####.com
- c####.jq####.com
- cdn.cindic####.com
- cdn.jsde####.net
- connect####.gst####.com
- f####.google####.com
- gmscomp####.google####.com
- kit.fontawe####.com
- mikr####.cn.com
- n####.p####.cn.com
- pla####.google####.com
- t####.co
- u####.com
- up####.wikim####.org
- w####.okx.com
- www.google####.com
Запросы HTTP POST:
- mikr####.cn.com/c
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- /data/data/####/0536a6aea5dc1ca9_0
- /data/data/####/0578d53785414cac_0
- /data/data/####/07b425ff4dc9cb6a_0
- /data/data/####/07b425ff4dc9cb6a_1
- /data/data/####/221708fb396492a5_0
- /data/data/####/49db93f6a630f365_0
- /data/data/####/50b5730f57fce453_0
- /data/data/####/50b5730f57fce453_1
- /data/data/####/50c9b674b33c1d10_0
- /data/data/####/50c9b674b33c1d10_1
- /data/data/####/6134a6ceaebd563c_0
- /data/data/####/632f12a34ef2ff38_0
- /data/data/####/68b22b47a9ec5690_0 (deleted)
- /data/data/####/742c966fedc9e43f_0 (deleted)
- /data/data/####/7685a32036f10dd3_0
- /data/data/####/7b8545f714bd8946_0
- /data/data/####/7c2185c290eee966_0
- /data/data/####/7c2185c290eee966_1
- /data/data/####/86205bb94f64f658_0
- /data/data/####/884c0b10fb01a27a_0
- /data/data/####/89bb91b3e7cca12d_0
- /data/data/####/89bb91b3e7cca12d_1
- /data/data/####/8d8d5e8d440416fe_0 (deleted)
- /data/data/####/9085d5178b5a037b_0
- /data/data/####/93c1bb01801df66e_0
- /data/data/####/94c039afeffb48f3_0
- /data/data/####/97d2c93b2ee554a7_0
- /data/data/####/Cookies-journal
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/a
- /data/data/####/a-journal
- /data/data/####/a8037375691fa46b_0
- /data/data/####/a89ceebe1e675105_0
- /data/data/####/aee1fcdfa8fe6f02_0
- /data/data/####/aee1fcdfa8fe6f02_1
- /data/data/####/androidx.work.workdb-journal (deleted)
- /data/data/####/b0b04ecc95f68fb3_0
- /data/data/####/b4fa602937c424c1_0 (deleted)
- /data/data/####/b832f53fc523bfb3_0
- /data/data/####/c08284ce61587a10_0
- /data/data/####/c85382a30eb5fc1f_0
- /data/data/####/c85382a30eb5fc1f_1
- /data/data/####/c933ee19f271dde1_0
- /data/data/####/c933ee19f271dde1_1
- /data/data/####/cadeec1745bd3adb_0
- /data/data/####/cd82e44dee922719_0
- /data/data/####/cd82e44dee922719_1
- /data/data/####/clicker.json
- /data/data/####/cropim.an669.ga
- /data/data/####/cropim.an669.ga.xml
- /data/data/####/cropim.an669.ga_preferences.xml
- /data/data/####/d73723e1a14be1d9_0
- /data/data/####/d73723e1a14be1d9_1
- /data/data/####/d7f485876baca8a2_0
- /data/data/####/e3aa83021a98d383_0
- /data/data/####/e43cf082f22a8c61_0
- /data/data/####/e647348d2ad9a3e6_0
- /data/data/####/e647348d2ad9a3e6_1
- /data/data/####/https_blarsterswap.xyz_0.localstorage-journal
- /data/data/####/index
- /data/data/####/metrics_guid
- /data/data/####/pGs.dex
- /data/data/####/pGs.dex.flock (deleted)
- /data/data/####/pGs.json
- /data/data/####/the-real-index
- /data/media/####/log.txt
- /data/misc/####/primary.prof
Другие:
Использует следующие алгоритмы для шифрования данных:
- PBEWithMD5AndDES
Использует следующие алгоритмы для расшифровки данных:
- PBEWithMD5AndDES
- RSA-ECB-PKCS1Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
Перехватывает уведомления.
Запрашивает разрешение на отображение системных уведомлений.
Имеет подозрительные повреждения, типичные для вредоносных файлов.
