Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Siggen.Susp.39393
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) www.haitao####.cn:80
- TCP(HTTP/1.1) www.1####.cn:80
- TCP(HTTP/1.1) xa####.com:80
- TCP(TLS/1.0) rr6---s####.g####.com:443
- TCP(TLS/1.0) 1####.250.74.67:443
- TCP(TLS/1.0) gmscomp####.google####.com:443
- TCP(TLS/1.0) and####.a####.go####.com:443
- TCP(TLS/1.0) p####.google####.com:443
- TCP(TLS/1.0) pla####.google####.com:443
- TCP(TLS/1.0) rr9---s####.g####.com:443
- TCP(TLS/1.2) 1####.250.74.67:443
- TCP(TLS/1.2) 1####.250.74.36:443
- TCP(TLS/1.2) 1####.250.74.131:443
- TCP(TLS/1.2) gmscomp####.google####.com:443
- TCP(TLS/1.2) and####.google####.com:443
- UDP p####.google####.com:443
Запросы DNS:
- and####.a####.go####.com
- and####.google####.com
- app.t####.com
- cf.gdata####.net
- gmscomp####.google####.com
- msg.y####.com
- p####.google####.com
- pay.y####.com
- pla####.google####.com
- rd.d####.net
- rd.gdata####.net
- rr6---s####.g####.com
- rr9---s####.g####.com
- www.1####.cn
- www.haitao####.cn
- xa####.com
Запросы HTTP GET:
- www.1####.cn/banner1.jpg
- www.1####.cn/banner2.jpg
- www.1####.cn/banner3.jpg
- www.1####.cn/banner4.jpg
- www.1####.cn/wuma1.jpg
- www.1####.cn/wuma2.jpg
- www.1####.cn/wuma3.jpg
- www.1####.cn/wuma4.jpg
- www.1####.cn/wuma5.jpg
- www.1####.cn/wuma6.jpg
- www.1####.cn/wuma7.jpg
- www.1####.cn/wuma8.jpg
- www.haitao####.cn/youbo1.jpg
- www.haitao####.cn/youbo1.mp4
- www.haitao####.cn/youbo2.jpg
- www.haitao####.cn/youbo3.jpg
- www.haitao####.cn/youbo4.jpg
- xa####.com/
- xa####.com/youbo1.mp4
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/EOZTzhVG.dex
- /data/data/####/EOZTzhVG.dex.flock (deleted)
- /data/data/####/EOZTzhVG.jar
- /data/data/####/com.maiy.xiao.kum_preferences.xml
- /data/data/####/dataeye_database_1DFBB08857369A712694007BF051FA...ournal
- /data/data/####/dataeye_database_1DFBB08857369A712694007BF051FAA4.db
- /data/data/####/dc.1DFBB08857369A712694007BF051FAA4.preferences.xml
- /data/data/####/dc.1DFBB08857369A712694007BF051FAA4.preferences.xml.bak
- /data/data/####/libus.lock
- /data/data/####/libus.so
- /data/data/####/proc_auxv
- /data/data/####/xUtils.db-journal
- /data/media/####/-1705121122
- /data/media/####/-1706044643
- /data/media/####/-1706044643.tmp
- /data/media/####/-1706968164
- /data/media/####/-1707891685
- /data/media/####/-1707891685.tmp
- /data/media/####/oid
- /data/media/####/uid
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh
- ls -l /sbin/su
- ls -l /sbin/su 2>&1
- ls -l /system/bin/su
- ls -l /system/sbin/su
- ls -l /system/xbin/su
- ls -l /vendor/bin/su
Загружает динамические библиотеки:
- libus
- libzblzk
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
