Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Triada.618.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) connect####.gst####.com:80
- UDP(NTP) t####.and####.com:123
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) st####.what####.net:443
- UDP 2####.255.255.255:67
Запросы DNS:
- connect####.gst####.com
- st####.what####.net
- t####.and####.com
- www.go####.com
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.nomedia
- /data/data/####/.superpack_version
- /data/data/####/00001DarkWallpaper.jpg
- /data/data/####/00001LightWallpaper.jpg
- /data/data/####/00002DarkWallpaper.jpg
- /data/data/####/00002LightWallpaper.jpg
- /data/data/####/00003DarkWallpaper.jpg
- /data/data/####/00003LightWallpaper.jpg
- /data/data/####/00004DarkWallpaper.jpg
- /data/data/####/00004LightWallpaper.jpg
- /data/data/####/00005DarkWallpaper.jpg
- /data/data/####/00005LightWallpaper.jpg
- /data/data/####/00006DarkWallpaper.jpg
- /data/data/####/00006LightWallpaper.jpg
- /data/data/####/00007DarkWallpaper.jpg
- /data/data/####/00007LightWallpaper.jpg
- /data/data/####/00008DarkWallpaper.jpg
- /data/data/####/00008LightWallpaper.jpg
- /data/data/####/00009DarkWallpaper.jpg
- /data/data/####/00009LightWallpaper.jpg
- /data/data/####/00010DarkWallpaper.jpg
- /data/data/####/00010LightWallpaper.jpg
- /data/data/####/00011DarkWallpaper.jpg
- /data/data/####/00011LightWallpaper.jpg
- /data/data/####/00012DarkWallpaper.jpg
- /data/data/####/00012LightWallpaper.jpg
- /data/data/####/00013DarkWallpaper.jpg
- /data/data/####/00013LightWallpaper.jpg
- /data/data/####/00014DarkWallpaper.jpg
- /data/data/####/00014LightWallpaper.jpg
- /data/data/####/00015DarkWallpaper.jpg
- /data/data/####/00015LightWallpaper.jpg
- /data/data/####/00016DarkWallpaper.jpg
- /data/data/####/00016LightWallpaper.jpg
- /data/data/####/00017DarkWallpaper.jpg
- /data/data/####/00017LightWallpaper.jpg
- /data/data/####/00018DarkWallpaper.jpg
- /data/data/####/00018LightWallpaper.jpg
- /data/data/####/00019DarkWallpaper.jpg
- /data/data/####/00019LightWallpaper.jpg
- /data/data/####/00020DarkWallpaper.jpg
- /data/data/####/00020LightWallpaper.jpg
- /data/data/####/00021DarkWallpaper.jpg
- /data/data/####/00021LightWallpaper.jpg
- /data/data/####/00022DarkWallpaper.jpg
- /data/data/####/00022LightWallpaper.jpg
- /data/data/####/00023DarkWallpaper.jpg
- /data/data/####/00023LightWallpaper.jpg
- /data/data/####/00024DarkWallpaper.jpg
- /data/data/####/00024LightWallpaper.jpg
- /data/data/####/00025DarkWallpaper.jpg
- /data/data/####/00025LightWallpaper.jpg
- /data/data/####/00026DarkWallpaper.jpg
- /data/data/####/00026LightWallpaper.jpg
- /data/data/####/00027DarkWallpaper.jpg
- /data/data/####/00027LightWallpaper.jpg
- /data/data/####/00028DarkWallpaper.jpg
- /data/data/####/00028LightWallpaper.jpg
- /data/data/####/00029DarkWallpaper.jpg
- /data/data/####/00029LightWallpaper.jpg
- /data/data/####/00030LightWallpaper.jpg
- /data/data/####/00031LightWallpaper.jpg
- /data/data/####/00032LightWallpaper.jpg
- /data/data/####/7141d053-50d5-4d11-9593-22e89978edbc
- /data/data/####/FirebaseHeartBeatW0RFRkFVTFRd+MToyOTM5NTU0NDE4M...I4.xml
- /data/data/####/_jobqueue-WhatsAppJobManager-journal
- /data/data/####/ab-props.xml
- /data/data/####/abort_hook.health
- /data/data/####/accounts
- /data/data/####/androidx.work.workdb-journal
- /data/data/####/androidx.work.workdb-wal
- /data/data/####/androidx.work.workdb.lck
- /data/data/####/anr_detector.health
- /data/data/####/axolotl.db-journal (deleted)
- /data/data/####/axolotl.db-wal
- /data/data/####/block_reasons_prefs.xml
- /data/data/####/breakpad.health
- /data/data/####/chatsettings.db-journal
- /data/data/####/chatsettings.db-wal
- /data/data/####/com.google.android.datatransport.events-journal
- /data/data/####/com.google.android.gms.appid-no-backup
- /data/data/####/com.google.firebase.messaging.xml
- /data/data/####/com.whatsapp_preferences_daily_events.xml
- /data/data/####/com.whatsapp_preferences_light.xml
- /data/data/####/community_shared_pref.xml
- /data/data/####/companion_mode_prefs.xml
- /data/data/####/core_health_event_pref_file.xml
- /data/data/####/directory_recent_search_history
- /data/data/####/disappearing_mode_prefs.xml
- /data/data/####/downloading-3397781172915481880.tmp
- /data/data/####/downloading-5529411993782158030.tmp
- /data/data/####/downloading-7532503231903255250.tmp
- /data/data/####/e2a71512-23df-4c4d-9aeb-a0e277e769b5
- /data/data/####/embeds_prefs.xml
- /data/data/####/extracted_pack_file.pack.tmp
- /data/data/####/google_bug_154855417.xml
- /data/data/####/hybrid_payment_methods_used.xml
- /data/data/####/keystore.xml
- /data/data/####/libandroidx.graphics.path.so
- /data/data/####/libaom.so
- /data/data/####/libar-bundle1.so
- /data/data/####/libar-bundle2.so
- /data/data/####/libar-bundle3.so
- /data/data/####/libar-bundle4.so
- /data/data/####/libar-bundle5.so
- /data/data/####/libarcore_sdk_c.so
- /data/data/####/libc++_shared.so
- /data/data/####/libcurve25519.so
- /data/data/####/libessential.so
- /data/data/####/libexecutorch.so
- /data/data/####/libfb.so
- /data/data/####/libfb_sqlite_3470000.so
- /data/data/####/libfbandroid_java_com_facebook_tigon_serializer...ers.so
- /data/data/####/libfbjni.so
- /data/data/####/libfbjni_kt.so
- /data/data/####/libfbsocketthreadlocalscope.so
- /data/data/####/libfbsofterror.so
- /data/data/####/libfbunwindstack.so
- /data/data/####/libffqplbridge.so
- /data/data/####/libffsingletonjnilogger.so
- /data/data/####/libflexlayout.so
- /data/data/####/libfortify.so
- /data/data/####/libggml_core_ops_enhanced.so
- /data/data/####/libggml_core_ops_universal.so
- /data/data/####/libgifimage.so
- /data/data/####/libglog.so
- /data/data/####/libgraphbase.so
- /data/data/####/libgraphicsengine-arengineservices-whatsappserv...ive.so
- /data/data/####/libgraphstore.so
- /data/data/####/libgraphstorecereal.so
- /data/data/####/libgraphstorecerealutil.so
- /data/data/####/libgraphutil.so
- /data/data/####/libhiddenapis2.so
- /data/data/####/libminscompiler-jni.so
- /data/data/####/libnative-filters.so
- /data/data/####/libnative_utils.so
- /data/data/####/libnativeutil-jni.so
- /data/data/####/libohai.so
- /data/data/####/libpando-active-fields.so
- /data/data/####/libpando-client-analytics-jni.so
- /data/data/####/libpando-client-cache-jni.so
- /data/data/####/libpando-client-tigon-jni.so
- /data/data/####/libpando-connection.so
- /data/data/####/libpando-consistency-analytics.so
- /data/data/####/libpando-constants.so
- /data/data/####/libpando-core.so
- /data/data/####/libpando-data-service.so
- /data/data/####/libpando-disk-cache.so
- /data/data/####/libpando-engine.so
- /data/data/####/libpando-flatbuffer-jni.so
- /data/data/####/libpando-graphql-analytics.so
- /data/data/####/libpando-graphql-ast-flatbuffers-runtime.so
- /data/data/####/libpando-graphql-ast.so
- /data/data/####/libpando-graphql-jni.so
- /data/data/####/libpando-graphql-network.so
- /data/data/####/libpando-graphql-pagination-service.so
- /data/data/####/libpando-graphql-params.so
- /data/data/####/libpando-graphql-service.so
- /data/data/####/libpando-graphql.so
- /data/data/####/libpando-jni.so
- /data/data/####/libpando-persist.so
- /data/data/####/libpando-response-cache.so
- /data/data/####/libpando-serialize-jni.so
- /data/data/####/libpando-serialize-utils.so
- /data/data/####/libpando-serialize.so
- /data/data/####/libpando-tigon-data-service.so
- /data/data/####/libpando-tigon-request.so
- /data/data/####/libpando-tree-updater-utils.so
- /data/data/####/libprofilo.so
- /data/data/####/libprofilo_atrace.so
- /data/data/####/libprofilo_counters.so
- /data/data/####/libprofilo_logger.so
- /data/data/####/libprofilo_mmapbuf.so
- /data/data/####/libprofilo_mmapbuf_buffer.so
- /data/data/####/libprofilo_mmapbuf_buffer_jni.so
- /data/data/####/libprofilo_multi_buffer_logger.so
- /data/data/####/libprofilo_stacktrace.so
- /data/data/####/libprofilo_systemcounters.so
- /data/data/####/libprofilo_threadmetadata.so
- /data/data/####/libprofiloextapi.so
- /data/data/####/libpytorch.so
- /data/data/####/librtvip.so
- /data/data/####/libsimplejni.so
- /data/data/####/libsmartglasses-bundle.so
- /data/data/####/libsqlitejni.so
- /data/data/####/libsqlitevec.so
- /data/data/####/libstash-jni.so
- /data/data/####/libstatic-webp.so
- /data/data/####/libtigonhttpclient-jni.so
- /data/data/####/libtigonhuc.so
- /data/data/####/libtigonjni.so
- /data/data/####/libtigonobserver.so
- /data/data/####/libtorch-code-gen.so
- /data/data/####/libunityjni.so
- /data/data/####/libvlc.so
- /data/data/####/libwa-tigon-jni.so
- /data/data/####/libwa_log.so
- /data/data/####/libwebpencoder-native.so
- /data/data/####/libwhatsapp.so
- /data/data/####/libwzav1.so
- /data/data/####/libxplat_appnetsessionid_appnetsessionidAndroid.so
- /data/data/####/libxplat_cdn_cache_key_cache_key_generatorAndroid.so
- /data/data/####/libxplat_cdn_cache_key_cache_key_generator_cont...oid.so
- /data/data/####/libxplat_cdn_cache_key_cache_key_generator_logg...oid.so
- /data/data/####/libxplat_cdn_cache_key_cache_key_thrift-cpp2-ty...oid.so
- /data/data/####/libxplat_cdn_util_cdn_urlAndroid.so
- /data/data/####/libxplat_configerator_structs_data_access_polic...oid.so
- /data/data/####/libxplat_logginginfra_falco_thrift_thrift-cpp2-...oid.so
- /data/data/####/libxplat_mobilenetwork_fbdomainsAndroid.so
- /data/data/####/libxplat_third-party_XNNPACK_XNNPACKAndroid.so
- /data/data/####/libxplat_third-party_yajl_yajlAndroid.so
- /data/data/####/libxplat_thrift_annotation_cpp-cpp2-typesAndroid.so
- /data/data/####/libxplat_thrift_annotation_erlang-cpp2-typesAndroid.so
- /data/data/####/libxplat_thrift_annotation_go-cpp2-typesAndroid.so
- /data/data/####/libxplat_thrift_annotation_hack-cpp2-typesAndroid.so
- /data/data/####/libxplat_thrift_annotation_internal-cpp2-typesAndroid.so
- /data/data/####/libxplat_thrift_annotation_java-cpp2-typesAndroid.so
- /data/data/####/libxplat_thrift_annotation_python-cpp2-typesAndroid.so
- /data/data/####/libxplat_thrift_annotation_rust-cpp2-typesAndroid.so
- /data/data/####/libxplat_thrift_annotation_scope-cpp2-typesAndroid.so
- /data/data/####/libxplat_thrift_annotation_thrift-cpp2-typesAndroid.so
- /data/data/####/libxplat_thrift_facebook_erlang_annotations-cpp...oid.so
- /data/data/####/libxplat_thrift_lib_cpp2_field_refAndroid.so
- /data/data/####/libxplat_thrift_lib_cpp2_frozen_frozenAndroid.so
- /data/data/####/libxplat_thrift_lib_cpp2_frozen_memory_schemaAndroid.so
- /data/data/####/libxplat_thrift_lib_cpp2_gen_module_constants_c...oid.so
- /data/data/####/libxplat_thrift_lib_cpp2_gen_module_types_cppAndroid.so
- /data/data/####/libxplat_thrift_lib_cpp2_protocol_detail_indexAndroid.so
- /data/data/####/libxplat_thrift_lib_cpp2_protocol_json_protocol...oid.so
- /data/data/####/libxplat_thrift_lib_cpp2_protocol_json_protocolAndroid.so
- /data/data/####/libxplat_thrift_lib_cpp2_protocol_lazy_deserial...oid.so
- /data/data/####/libxplat_thrift_lib_cpp2_protocol_protocolAndroid.so
- /data/data/####/libxplat_thrift_lib_cpp2_protocol_protocol_baseAndroid.so
- /data/data/####/libxplat_thrift_lib_cpp2_protocol_table_based_s...oid.so
- /data/data/####/libxplat_thrift_lib_cpp2_type_base-typeAndroid.so
- /data/data/####/libxplat_thrift_lib_cpp_protocol_base64_utilsAndroid.so
- /data/data/####/libxplat_thrift_lib_cpp_protocol_protocol-coreAndroid.so
- /data/data/####/libxplat_thrift_lib_cpp_thrift-coreAndroid.so
- /data/data/####/libxplat_thrift_lib_cpp_transport_transport-coreAndroid.so
- /data/data/####/libxplat_thrift_lib_cpp_util_varint_utilsAndroid.so
- /data/data/####/libxplat_thrift_lib_thrift_frozen-cpp2-typesAndroid.so
- /data/data/####/libxxhash.so
- /data/data/####/libyoga.so
- /data/data/####/media.db-journal (deleted)
- /data/data/####/media.db-wal
- /data/data/####/meta_ai_prefs.xml
- /data/data/####/network_resources_pref.xml
- /data/data/####/ntp-scheduler.xml
- /data/data/####/oborucup
- /data/data/####/osrlefyu
- /data/data/####/osrlefyu.cur.prof
- /data/data/####/payment_daily_usage_preferences.xml
- /data/data/####/payment_handle_prefs.xml
- /data/data/####/pref_sticker_shared_file.xml
- /data/data/####/privacy_highlight.xml
- /data/data/####/ptt_prefs.xml
- /data/data/####/qr_code_daily_prefs.xml
- /data/data/####/qr_code_txn_prefs.xml
- /data/data/####/server_prop_preferences.xml
- /data/data/####/startup_prefs.xml
- /data/data/####/stickers.db-journal (deleted)
- /data/data/####/stickers.db-wal
- /data/data/####/sync.db-journal (deleted)
- /data/data/####/sync.db-wal
- /data/data/####/syncd_prefs.xml
- /data/data/####/triggered_block_prefs.xml
- /data/data/####/triggered_block_prefs_purge_ts.xml
- /data/data/####/user_notice_prefs.xml
- /data/data/####/voip_prefs.xml
- /data/data/####/voip_time_series_pref.xml
- /data/data/####/vpa_daily_prefs.xml
- /data/data/####/vpa_payment_handle_prefs.xml
- /data/data/####/vpa_txn_prefs.xml
- /data/data/####/wa.db-journal
- /data/data/####/wa.db-wal
- /data/data/####/wafalco.xml
- /data/data/####/whatsapp-2025-10-07.1.log.gz
- /data/data/####/whatsapp.log
- /data/user_de/####/com.facebook.secure.switchoff.xml
- /databases/_jobqueue-WhatsAppJobManager
- /databases/axolotl.db
- /databases/axolotl.db-shm
- /databases/axolotl.db-wal
- /databases/chatsettings.db
- /databases/chatsettings.db-shm
- /databases/chatsettings.db-wal
- /databases/com.google.android.datatransport.events
- /databases/media.db
- /databases/media.db-shm
- /databases/media.db-wal
- /databases/stickers.db
- /databases/stickers.db-shm
- /databases/stickers.db-wal
- /databases/sync.db
- /databases/sync.db-shm
- /databases/sync.db-wal
- /databases/wa.db
- /databases/wa.db-shm
- /databases/wa.db-wal
- /files/Logs/whatsapp.log
- /files/app_state/0
- /files/decompressed/####/.superpack_version
- /files/oborucup
- /files/wam/wamt-a-0-0-1
- /no_backup/androidx.work.workdb
- /no_backup/androidx.work.workdb-shm
- /no_backup/androidx.work.workdb-wal
Другие:
Запускает следующие shell-скрипты:
- /system/bin/su
Использует повышенные привилегии.
Пытается определить окружение песочницы.
