Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.MobiDash.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) rts.mo####.sdk.####.com:80
- TCP(HTTP/1.1) param####.lion####.com:80
- TCP(HTTP/1.1) ad.lion####.com:80
- TCP(HTTP/1.1) api.mo####.sdk.####.com:80
- TCP(HTTP/1.1) vpn.lion####.com:80
- TCP(TLS/1.0) 2####.58.212.174:443
- TCP(TLS/1.0) api.face####.com:443
- TCP(TLS/1.0) mobilep####.pass####.ya####.net:443
- TCP(TLS/1.0) d####.fl####.com:443
- TCP(TLS/1.0) d13p9pv####.cloudf####.net:443
- TCP(TLS/1.0) sta####.mo####.ya####.net:443
- TCP(TLS/1.0) pag####.googles####.com:443
- TCP(TLS/1.0) re####.appmet####.ya####.net:443
Запросы DNS:
- ad.lion####.com
- anal####.lion####.com
- api.mo####.sdk.####.com
- certifi####.mo####.ya####.net
- d####.fl####.com
- d13p9pv####.cloudf####.net
- g####.face####.com
- pag####.googles####.com
- param####.lion####.com
- power####.lion####.com
- re####.appmet####.ya####.net
- rts.mo####.sdk.####.com
- sta####.mo####.ya####.net
- vpn.lion####.com
Запросы HTTP GET:
- api.mo####.sdk.####.com/adunion/slot/getDlAd?h=####&w=####&model=####&ve...
- api.mo####.sdk.####.com/adunion/slot/getSrcPrio?h=####&w=####&model=####...
Запросы HTTP POST:
- rts.mo####.sdk.####.com/orts/rpb?h=####&w=####&model=####&vendor=####&sd...
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/app_app_apk/netmaster.dat.jar
- <Package Folder>/app_outdex/netmaster.dat.dex
- <Package Folder>/code_cache/####/MultiDex.lock
- <Package Folder>/code_cache/####/tmp-<Package>-1.apk.classes-106584833.zip
- <Package Folder>/code_cache/####/tmp-<Package>-1.apk.classes876376444.zip
- <Package Folder>/databases/YYS.db-journal
- <Package Folder>/databases/battery_stat.db-journal
- <Package Folder>/databases/db_metrica_<Package>-journal
- <Package Folder>/databases/db_metrica_<Package>_13-journal
- <Package Folder>/databases/db_metrica_<Package>_20799a27-fa80-4...ournal
- <Package Folder>/databases/du_ad_cache.db-journal
- <Package Folder>/databases/du_ad_parse.db-journal
- <Package Folder>/databases/du_ad_ts.db-journal
- <Package Folder>/databases/key_value_store.db-journal
- <Package Folder>/databases/metrica_client_data.db
- <Package Folder>/databases/metrica_client_data.db-journal
- <Package Folder>/databases/metrica_data.db-journal
- <Package Folder>/databases/traffic.db-journal
- <Package Folder>/databases/tray.db-journal
- <Package Folder>/files/.YFlurrySenderIndex.info.AnalyticsData_6...WW_205
- <Package Folder>/files/.YFlurrySenderIndex.info.AnalyticsMain
- <Package Folder>/files/.yflurrydatasenderblock.6480b238-303d-4d...fcdf3d
- <Package Folder>/files/.yflurrydatasenderblock.b098a368-a36a-41...29d0e0
- <Package Folder>/files/.yflurrydatasenderblock.fd18608a-7bb0-47...59a1db
- <Package Folder>/files/.yflurryreport.-6aef4ab2b2b15117
- <Package Folder>/files/AppEventsLogger.persistedsessioninfo
- <Package Folder>/files/credentials.dat
- <Package Folder>/files/metrica_client_data.db.lock
- <Package Folder>/files/voiEZQcca
- <Package Folder>/no_backup/com.google.android.gms.appid-no-backup
- <Package Folder>/shared_prefs/<Package>_boundentrypreferences.xml
- <Package Folder>/shared_prefs/<Package>_migrationpreferences.xml
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/shared_prefs/<Package>_preferences.xml.bak
- <Package Folder>/shared_prefs/<Package>_servertimeoffset.xml
- <Package Folder>/shared_prefs/<Package>_startupserviceinfopreferences.xml
- <Package Folder>/shared_prefs/ADPRIORITY.xml
- <Package Folder>/shared_prefs/FLURRY_SHARED_PREFERENCES.xml
- <Package Folder>/shared_prefs/_toolbox_prefs.xml
- <Package Folder>/shared_prefs/com.facebook.internal.preferences...GS.xml
- <Package Folder>/shared_prefs/com.facebook.sdk.appEventPreferences.xml
- <Package Folder>/shared_prefs/com.facebook.sdk.attributionTracking.xml
- <Package Folder>/shared_prefs/com.google.android.gms.appid.xml
- <Package Folder>/shared_prefs/com.google.android.gms.measurement.prefs.xml
- <Package Folder>/shared_prefs/com.powerwifi_pref.xml
- <Package Folder>/shared_prefs/multidex.version.xml
- <Package Folder>/shared_prefs/remote_service_config.xml
Другие:
Запускает следующие shell-скрипты:
- top -d 1 -n 1 -s cpu -m 15
Загружает динамические библиотеки:
- YandexMetricaNativeModule
- daemon_api20
- voiEZQcca
Использует права администратора.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
