Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.RemoteCode.32
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(GCM) <Google Host>
- TCP(HTTP/1.1) ip.ta####.com:80
- TCP(HTTP/1.1) int.d####.s####.####.cn:80
Запросы DNS:
- app.jjl-####.com
- fee.feiyunh####.com
- h5####.p####.cn
- int.d####.s####.####.cn
- ip.ta####.com
Запросы HTTP GET:
- int.d####.s####.####.cn/iplookup/iplookup.php?format=####
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/EOZTzhVG.jar
- <Package Folder>/cache/####/data_0
- <Package Folder>/cache/####/data_1
- <Package Folder>/cache/####/data_2
- <Package Folder>/cache/####/data_3
- <Package Folder>/cache/####/index
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/databases/webviewCookiesChromium.db-journal (deleted)
- <Package Folder>/files/####/libus.so
- <Package Folder>/files/####/libvia_pay.so
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/shared_prefs/device_id.xml.xml
- <Package Folder>/shared_prefs/multidex.version.xml
- <SD-Card>/pvnew/####/journal.tmp
Другие:
Загружает динамические библиотеки:
- dxjob
- us
- via_pay
Использует следующие алгоритмы для шифрования данных:
- AES-ECB-PKCS5Padding
- RSA
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
