Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Siggen.Susp.28147
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(DNS) <Google DNS>
- TCP(HTTP/1.1) 1####.144.118.230:80
- TCP(TLS/1.0) h####.1####.work:443
- TCP(TLS/1.0) h####.vivi####.work:443
- TCP(TLS/1.0) 1####.250.150.94:443
- TCP(TLS/1.0) p####.google####.com:443
- TCP(TLS/1.0) f####.gst####.com:443
- TCP(TLS/1.0) o####.f####.cc:443
- TCP(TLS/1.0) gmscomp####.google####.com:443
- TCP(TLS/1.2) 1####.250.150.94:443
- TCP(TLS/1.2) 2####.58.207.234:443
- TCP(TLS/1.2) 1####.250.74.68:443
- TCP(TLS/1.2) 1####.250.74.106:443
- TCP(TLS/1.2) 1####.194.221.101:443
- TCP(TLS/1.2) 1####.250.150.101:443
- TCP a####.duopr####.com:4900
- TCP o####.f####.cc:443
- TCP 1####.32.227.64:800
- TCP 4####.51.74.68:6000
- TCP 43.1####.169.55:800
- TCP 1####.53.55.22:800
- TCP 4####.51.73.138:800
Запросы DNS:
- a####.duopr####.com
- and####.google####.com
- f####.gst####.com
- gmscomp####.google####.com
- h####.1####.work
- h####.vivi####.work
- if24####.if.okami####.com
- o####.f####.cc
- p####.google####.com
- rr9---s####.g####.com
- www.google####.com
Запросы HTTP GET:
- h####.vivi####.work:443/appapi/appinfo/getVersion?sdk=####&brand=####&ch...
- h####.vivi####.work:443/appapi/mirrcast/geturl
Запросы HTTP POST:
- h####.vivi####.work:443/appapi/appinfo/register
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-1.dex_1720255181207_fa7658bf8349b756_173858109...leted)
- /data/data/####/-1.dex_1720255181207_fa7658bf8349b756_1738581098546.rf
- /data/data/####/-1.dex_1720255181207_fa7658bf8349b756_1738581098546.rf.dex
- /data/data/####/.p.dex
- /data/data/####/.p.dex.flock (deleted)
- /data/data/####/.p.jar
- /data/data/####/.q.dex
- /data/data/####/.q.dex.flock (deleted)
- /data/data/####/.q.jar
- /data/data/####/2036c2f2adcd480d5e86401f885056811e22bce5c1d35f3...e19f.0
- /data/data/####/697b5b95bbefda4128ca521e98da85489b66c91da9073ec...5fe9.0
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/androidx.work.workdb-journal (deleted)
- /data/data/####/androidx.work.workdb.lck
- /data/data/####/com.home.cast.dlna.renderer.xml
- /data/data/####/com.home.cast.dlna.renderer_preferences.xml
- /data/data/####/device_id.xml.xml
- /data/data/####/hs.cuid.v1.xml
- /data/data/####/hs.prefs.xml
- /data/data/####/journal
- /data/data/####/kdid
- /data/data/####/metrics_guid
- /data/data/####/proc_auxv
- /data/media/####/.cuid.v1
- /data/misc/####/primary.prof
- /data/user_de/####/kdid
- /data/user_de/####/performance.xml
Другие:
Запускает следующие shell-скрипты:
- which su
Загружает динамические библиотеки:
- libanl
Использует следующие алгоритмы для шифрования данных:
- AES-CFB-NoPadding
- AES-ECB-PKCS5Padding
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CFB-NoPadding
- AES-ECB-PKCS5Padding
Использует повышенные привилегии.
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
