Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.BankBot.Ermac.4.origin
Детект на основе машинного обучения.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) cnjw####.cyou:80
Запросы DNS:
- cnjw####.cyou
- mnqwx####.mom
- wofca####.buzz
Запросы HTTP GET:
- cnjw####.cyou/socket.io/?EIO=####&transport=####
- cnjw####.cyou/socket.io/?EIO=####&transport=####&sid=####
Запросы HTTP POST:
- cnjw####.cyou/php/0t.php/
- cnjw####.cyou/php/0wjr90xxrqty1e.php/
- cnjw####.cyou/php/1c04soensfnp8ze.php/
- cnjw####.cyou/php/22u2q1.php/
- cnjw####.cyou/php/24oi33oyqoqknbjta.php/
- cnjw####.cyou/php/553qzxsicx.php/
- cnjw####.cyou/php/5ksa8ipamh3wy8k2f8.php/
- cnjw####.cyou/php/5rzt18trdlkfo.php/
- cnjw####.cyou/php/6c83fpude.php/
- cnjw####.cyou/php/6ozg0w9pqyy52k5tqohi.php/
- cnjw####.cyou/php/6zsuc76.php/
- cnjw####.cyou/php/79p4cx42d5ffbs2b.php/
- cnjw####.cyou/php/7fwrlg9tv09.php/
- cnjw####.cyou/php/7vn.php/
- cnjw####.cyou/php/884dqocg2eun6k6mz8d.php/
- cnjw####.cyou/php/8c5tqcu0c0.php/
- cnjw####.cyou/php/92p634tzp.php/
- cnjw####.cyou/php/9691kx4w.php/
- cnjw####.cyou/php/96ni03u2sd58v5at8a7z.php/
- cnjw####.cyou/php/a9qp9pn8obwi7n.php/
- cnjw####.cyou/php/aw76q7bbohumso7fo.php/
- cnjw####.cyou/php/bfvn2n0.php/
- cnjw####.cyou/php/ce4.php/
- cnjw####.cyou/php/cueh6t3dr3j6e5s5kv.php/
- cnjw####.cyou/php/cv95sgq.php/
- cnjw####.cyou/php/dbpp4eb3rgyrfvay0.php/
- cnjw####.cyou/php/ej4nsyiowy.php/
- cnjw####.cyou/php/ej98v4.php/
- cnjw####.cyou/php/f3kwehokk47ut4r.php/
- cnjw####.cyou/php/fkmyj5r4khqwkp155lln.php/
- cnjw####.cyou/php/fsj.php/
- cnjw####.cyou/php/h1q1ddt8abbum.php/
- cnjw####.cyou/php/h7.php/
- cnjw####.cyou/php/i4v3bl.php/
- cnjw####.cyou/php/i6pw.php/
- cnjw####.cyou/php/ijuh5lc0egx7.php/
- cnjw####.cyou/php/ikgoukym1l0lye.php/
- cnjw####.cyou/php/iv033lzjprzcigbr6n7.php/
- cnjw####.cyou/php/jclk1vek4qvw.php/
- cnjw####.cyou/php/jtnaflke0g3wza9oofv.php/
- cnjw####.cyou/php/k2vqqwdo2.php/
- cnjw####.cyou/php/ka9z0akk37sz78.php/
- cnjw####.cyou/php/maobmnbckh16t5d5eh6y.php/
- cnjw####.cyou/php/n.php/
- cnjw####.cyou/php/n847t.php/
- cnjw####.cyou/php/o9i.php/
- cnjw####.cyou/php/ok9hfjkpp4q7uo.php/
- cnjw####.cyou/php/oz64ak60ca3fjp9.php/
- cnjw####.cyou/php/p746hudb9n3oxid.php/
- cnjw####.cyou/php/pcbq99b1i6g.php/
- cnjw####.cyou/php/pd3nekgpvzafc1r4.php/
- cnjw####.cyou/php/qr.php/
- cnjw####.cyou/php/rubifxqljw.php/
- cnjw####.cyou/php/rxz41wgb.php/
- cnjw####.cyou/php/t0g9gmjqj5ptsry82jpb.php/
- cnjw####.cyou/php/un73qy7hea.php/
- cnjw####.cyou/php/uyq55l49ggj55cdqsr.php/
- cnjw####.cyou/php/v8s0rs9v1k6k926.php/
- cnjw####.cyou/php/vsldoxta4lu3crc.php/
- cnjw####.cyou/php/vyymlgom8q.php/
- cnjw####.cyou/php/wn46uih4vz7h4fq5cz.php/
- cnjw####.cyou/php/xhhxgggv.php/
- cnjw####.cyou/php/xiqvi482.php/
- cnjw####.cyou/php/z02.php/
- cnjw####.cyou/php/zelgfbmotxzhq5j9zd9q.php/
- cnjw####.cyou/php/zsb1bfgqgn1vp97n5e.php/
- cnjw####.cyou/socket.io/?EIO=####&transport=####&sid=####
Изменения в файловой системе:
Создает следующие файлы:
- /com.ruzigacisafo.fici/no_backup/androidx.work.workdb
- /com.ruzigacisafo.fici/no_backup/androidx.work.workdb-shm
- /com.ruzigacisafo.fici/no_backup/androidx.work.workdb-wal
- /data/user/####/androidx.work.workdb-journal
- /data/user/####/androidx.work.workdb-wal
- /data/user/####/dM.json
- /data/user/####/dM.json.cur.prof
- /data/user/####/dM.vdex
- /data/user/####/settings.xml
Другие:
Осуществляет доступ к приватному интерфейсу ITelephony.
Осуществляет доступ к интерфейсу камеры.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об активных администраторах устройства.
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Получает информацию об отправленых/принятых SMS.
Перехватывает уведомления.
Запрашивает разрешение на отображение системных уведомлений.
Имеет подозрительные повреждения, типичные для вредоносных файлов.
Пытается определить окружение песочницы.
