Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Banker.Mamont.17.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) connect####.gst####.com:80
- UDP(NTP) t####.and####.com:123
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) ru####.ru:443
- TCP(TLS/1.0) raffik-####.store:443
- UDP 2####.255.255.255:67
Запросы DNS:
- connect####.gst####.com
- raffik-####.store
- ru####.ru
- t####.and####.com
- www.go####.com
Запросы HTTP GET:
- raffik-####.store:443/api/get_bot_commands.php?tag=####
Запросы HTTP POST:
- raffik-####.store:443/api/register_bot.php
- raffik-####.store:443/api/update_permissions.php
Изменения в файловой системе:
Создает следующие файлы:
- /app_webview/Default/####/000003.log
- /app_webview/Default/####/LOCK
- /app_webview/Default/####/LOG
- /app_webview/Default/####/MANIFEST-000001
- /app_webview/Default/Cookies
- /app_webview/Default/Web Data
- /app_webview/Default/Web Data-journal
- /app_webview/variations_seed_new
- /app_webview/webview_data.lock
- /data/data/####/.org.chromium.Chromium.VCdS5V
- /data/data/####/000001.dbtmp
- /data/data/####/AO1k0LFftqNf3XMrBm6CQSu9f98DFymk.dex
- /data/data/####/BotPrefs.xml
- /data/data/####/BrowserMetrics-spare.pma.tmp
- /data/data/####/Cookies-journal
- /data/data/####/Gka5gv07DzrRLymhqCCMO0Rg931skNUV.dex
- /data/data/####/MANIFEST-000001
- /data/data/####/PermissionsReport.xml
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/ZOvDzBRdYWCxbKaQXjZD3psSpU4tt9qu.dex
- /data/data/####/font_unique_name_table.pb
- /data/data/####/index
- /data/data/####/ivFhMypvLrAhG6JLHSZ7LMKiJdrrnlf6.dex
- /data/data/####/mT27jEHJsR7gffKT532EAkwk4TaWkCIL.dex
- /data/data/####/nCGw76WjlerQepSzPzGTYcWMt6xnnHyF.dex
- /data/data/####/profileInstalled
- /data/data/####/settings.dat
- /data/data/####/temp-index
- /data/data/####/the-real-index
- /data/data/####/todelete_f275ed2d2b1872b8_0_1 (deleted)
- /data/data/####/variations_seed_new
- /data/data/####/variations_stamp
- /data/data/####/ۦۖ۫
- /data/data/####/ۦۖ۫.
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/bin/su
- rm -r/data/user/0/<Package>/app_ded/AO1k0LFftqNf3XMrBm6CQSu9f98DFymk.dex
- rm -r/data/user/0/<Package>/app_ded/Gka5gv07DzrRLymhqCCMO0Rg931skNUV.dex
- rm -r/data/user/0/<Package>/app_ded/ZOvDzBRdYWCxbKaQXjZD3psSpU4tt9qu.dex
- rm -r/data/user/0/<Package>/app_ded/ivFhMypvLrAhG6JLHSZ7LMKiJdrrnlf6.dex
- rm -r/data/user/0/<Package>/app_ded/mT27jEHJsR7gffKT532EAkwk4TaWkCIL.dex
- rm -r/data/user/0/<Package>/app_ded/nCGw76WjlerQepSzPzGTYcWMt6xnnHyF.dex
Загружает динамические библиотеки:
- libnp_protect_res
Использует повышенные привилегии.
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
Имеет подозрительные повреждения, типичные для вредоносных файлов.
