Техническая информация
Вредоносные функции:
Отправляет SMS:
- <Contact Phone>: https://t.me/Toyga_taklifnoma/4
- <SMS Address>: https://t.me/Toyga_taklifnoma/4
Детект на основе машинного обучения.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) llk####.top:80
- TCP(TLS/1.0) api.tele####.org:443
Запросы DNS:
- api.tele####.org
- llk####.top
Запросы HTTP GET:
- llk####.top/api/get-text?worker=####
- llk####.top/socket.io/?EIO=####&transport=####
Запросы HTTP POST:
- api.tele####.org:443/bot8021154633:AAFRBiC4eLLZEseuI884baZVjRVdKBR_yfI/s...
- llk####.top/log/launch
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/PreferencesKey.xml
- /data/data/####/profileInstalled
- /data/data/####/ۦۖ۫
- /data/data/####/ۦۖ۫.
- /storage/emulated/####/uz5823b7d0292e431fa83355c64bf8686e_sms_m...leted)
Другие:
Запускает следующие shell-скрипты:
- /system/bin/su
Загружает динамические библиотеки:
- libnp_protect_res
Использует повышенные привилегии.
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Получает информацию об отправленых/принятых SMS.
Имеет подозрительные повреждения, типичные для вредоносных файлов.
Пытается определить окружение песочницы.
Содержит скрытые альтернативные главные активности.
