Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.BankBot.Ermac.6.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) oni7gi####.cloud:80
- TCP(TLS/1.0) api.i####.org:443
Запросы DNS:
- api.i####.org
- gerdos####.today
- oni7gi####.cloud
Запросы HTTP GET:
- api.i####.org:443/
- oni7gi####.cloud/socket.io/?EIO=####&transport=####
Запросы HTTP POST:
- oni7gi####.cloud/php/y30v5vk5ns7.php/
Изменения в файловой системе:
Создает следующие файлы:
- /com.pupesabuduca.sisi/no_backup/androidx.work.workdb
- /com.pupesabuduca.sisi/no_backup/androidx.work.workdb-shm
- /com.pupesabuduca.sisi/no_backup/androidx.work.workdb-wal
- /data/user/####/Ym.json
- /data/user/####/Ym.json.cur.prof
- /data/user/####/androidx.work.workdb-journal (deleted)
- /data/user/####/androidx.work.workdb-wal
- /data/user/####/settings.xml
Другие:
Использует права администратора.
Осуществляет доступ к приватному интерфейсу ITelephony.
Осуществляет доступ к интерфейсу камеры.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об активных администраторах устройства.
Отрисовывает собственные окна поверх других приложений.
Перехватывает уведомления.
Запрашивает разрешение на отображение системных уведомлений.
Имеет подозрительные повреждения, типичные для вредоносных файлов.
Пытается определить окружение песочницы.
