Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.BankBot.Ermac.1.origin
Скрывает свою иконку с экрана.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(TLS/1.0) rr6---s####.g####.com:443
- TCP(TLS/1.0) gmscomp####.google####.com:443
- TCP(TLS/1.0) and####.cli####.go####.com:443
- TCP(TLS/1.0) 1####.250.74.131:443
- TCP(TLS/1.0) pla####.google####.com:443
- TCP(TLS/1.0) p####.google####.com:443
- TCP(TLS/1.2) gmscomp####.google####.com:443
- TCP(TLS/1.2) 1####.250.74.131:443
- TCP(TLS/1.2) 1####.250.74.36:443
- UDP p####.google####.com:443
Запросы DNS:
- and####.a####.go####.com
- and####.cli####.go####.com
- and####.google####.com
- gmscomp####.google####.com
- i.y####.com
- p####.google####.com
- pla####.google####.com
- pla####.googleu####.com
- rr6---s####.g####.com
- rr9---s####.g####.com
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/3iqBZpYf1GDjGAOXqmf8OLncgV11RUC6.dex
- /data/data/####/3iqBZpYf1GDjGAOXqmf8OLncgV11RUC6.dex.flock (deleted)
- /data/data/####/kNRcgjtbV1Ox2sG5DKv02CV9YC8snhZm.dex
- /data/data/####/kNRcgjtbV1Ox2sG5DKv02CV9YC8snhZm.dex.flock (deleted)
- /data/data/####/mo0xJFYV4vZmn3qU3oexA78xtplZuZxt.dex
- /data/data/####/mo0xJFYV4vZmn3qU3oexA78xtplZuZxt.dex.flock (deleted)
- /data/data/####/proc_auxv
- /data/data/####/settings.xml
- /data/data/####/wwN2Veeb1yx5LGVd51t64tHoGVJAef19.dex
- /data/data/####/wwN2Veeb1yx5LGVd51t64tHoGVJAef19.dex.flock (deleted)
- /data/data/####/ۦۖ۫
- /data/data/####/ۦۖ۫.
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- rm -r/data/user/0/<Package>/app_ded/3iqBZpYf1GDjGAOXqmf8OLncgV11RUC6.dex
- rm -r/data/user/0/<Package>/app_ded/kNRcgjtbV1Ox2sG5DKv02CV9YC8snhZm.dex
- rm -r/data/user/0/<Package>/app_ded/mo0xJFYV4vZmn3qU3oexA78xtplZuZxt.dex
- rm -r/data/user/0/<Package>/app_ded/wwN2Veeb1yx5LGVd51t64tHoGVJAef19.dex
Загружает динамические библиотеки:
- libnp_protect_res
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об активных администраторах устройства.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Получает информацию об отправленых/принятых SMS.
Запрашивает разрешение на отображение системных уведомлений.
Имеет подозрительные повреждения, типичные для вредоносных файлов.
Пытается определить окружение песочницы.
Содержит скрытые альтернативные главные активности.
