Technical information
Malicious functions:
Executes code of the following detected threats:
- Android.Siggen.Susp.198
- Android.SpyMax.20.origin
Network activity:
Connects to:
- UDP(DNS) 8####.8.4.4:53
- TCP(TLS/1.0) p####.google####.com:443
- TCP(TLS/1.0) www.google####.com:443
- TCP(TLS/1.0) lf1-cdn####.byteg####.com:443
- TCP(TLS/1.0) www.a.sh####.com:443
- TCP(TLS/1.0) and####.a####.go####.com:443
- TCP(TLS/1.0) s.ssl.qh####.####.com:443
- TCP(TLS/1.0) www.bi####.la:443
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.0) gmscomp####.google####.com:443
- TCP(TLS/1.0) www.da####.me:443
- TCP(TLS/1.0) zz.bdst####.com:443
- TCP(TLS/1.0) pla####.google####.com:443
- TCP(TLS/1.2) 64.2####.164.94:443
DNS requests:
- and####.a####.go####.com
- and####.google####.com
- gmscomp####.google####.com
- lf1-cdn####.byteg####.com
- p####.google####.com
- pla####.google####.com
- s.ssl.qh####.com
- sp0.b####.com
- www.bi####.la
- www.da####.me
- www.google####.com
- zz.bdst####.com
File system changes:
Creates the following files:
- /data/data/####/098479affb9d3666_0
- /data/data/####/098479affb9d3666_1
- /data/data/####/0c8fd6bd0730cbe0_0
- /data/data/####/0da03737c4d62293_0
- /data/data/####/10010e033
- /data/data/####/10010e033.dex
- /data/data/####/10010e033.dex.flock (deleted)
- /data/data/####/131a500b4ec46367_0
- /data/data/####/15b2a8cddfedb249_0
- /data/data/####/1798427b85b13f7e_0
- /data/data/####/1f1022eb06ff5bec_0
- /data/data/####/2547c10bb526808a_0
- /data/data/####/2657757191c11a76_0
- /data/data/####/2857714c6def95e3_0
- /data/data/####/2e095905a2f82541_0
- /data/data/####/3f5159c0bb5a4562_0
- /data/data/####/4a39111c51602044_0
- /data/data/####/4a39111c51602044_1
- /data/data/####/4e97cdca25ddf80a_0
- /data/data/####/4f94f44a2a7bd26b_0
- /data/data/####/518eeb29e6101b64_0
- /data/data/####/54916f38515e1e7c_0
- /data/data/####/55b99798bc956e7e_0
- /data/data/####/64db3d2ca7e41b3a_0
- /data/data/####/65b714a70236c859_0
- /data/data/####/65b714a70236c859_1
- /data/data/####/6dba3a43d2645417_0
- /data/data/####/6dba3a43d2645417_1
- /data/data/####/6e964f1f4cd902ce_0
- /data/data/####/746f3f398c34ce73_0
- /data/data/####/7538441dc5b546f6_0
- /data/data/####/795a3079181354c7_0
- /data/data/####/79b1d0425e359e93_0
- /data/data/####/7afbe8635b4e4e69_0
- /data/data/####/7f4d8f39460c4c41_0
- /data/data/####/803aa1422e3179e7_0
- /data/data/####/91745dfd2fe767cd_0
- /data/data/####/A.XML
- /data/data/####/AndroidManifest.xml
- /data/data/####/B.XML
- /data/data/####/C.XML
- /data/data/####/Cookies-journal
- /data/data/####/D.XML
- /data/data/####/E.XML
- /data/data/####/F.XML
- /data/data/####/G.XML
- /data/data/####/H.XML
- /data/data/####/I.XML
- /data/data/####/J.XML
- /data/data/####/K.XML
- /data/data/####/L.XML
- /data/data/####/M.XML
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/a
- /data/data/####/a.png
- /data/data/####/a.xml
- /data/data/####/a0.9.png
- /data/data/####/a1.9.png
- /data/data/####/a2.9.png
- /data/data/####/a3.png
- /data/data/####/a4.png
- /data/data/####/a4fdeac39e817e42_0
- /data/data/####/a5b958f7eecab042_0
- /data/data/####/a8e7af0a25f38cc2_0
- /data/data/####/abffe3194d3c9cbc_0
- /data/data/####/afbcf06f3a04dde6_0
- /data/data/####/b.png
- /data/data/####/b.xml
- /data/data/####/c.png
- /data/data/####/c.xml
- /data/data/####/c538d8d85dd0e789_0
- /data/data/####/cffcd586a0dd084a_0
- /data/data/####/classes.dex
- /data/data/####/classes.dex.dex
- /data/data/####/classes2.dex
- /data/data/####/classes2.dex.flock (deleted)
- /data/data/####/classes_ogr.dex
- /data/data/####/classes_ogr.dex.flock (deleted)
- /data/data/####/d.png
- /data/data/####/d.xml
- /data/data/####/d22c2fb412ebbde9_0
- /data/data/####/d38449691d62aa2f_0
- /data/data/####/d38449691d62aa2f_1
- /data/data/####/d6c2cafd19ac833b_0
- /data/data/####/e.png
- /data/data/####/e.xml
- /data/data/####/e1041502d7f56f36_0
- /data/data/####/e189e8086d2714c7_0
- /data/data/####/e3f271b53b5f52e5_0
- /data/data/####/ebac248a46d5b13a_0
- /data/data/####/email.cyprus.beatles.xml
- /data/data/####/email.cyprus.beatles.xml.bak
- /data/data/####/email.cyprus.beatles_preferences.xml
- /data/data/####/f.xml
- /data/data/####/f12ddeae5320cb8c_0
- /data/data/####/f41394d6aef24f6a_0
- /data/data/####/g.xml
- /data/data/####/h.png
- /data/data/####/h.xml
- /data/data/####/i.png
- /data/data/####/i.xml
- /data/data/####/index
- /data/data/####/j.png
- /data/data/####/j.xml
- /data/data/####/k.png
- /data/data/####/k.xml
- /data/data/####/l.xml
- /data/data/####/libapklkwes.so
- /data/data/####/libhyapkcps.so
- /data/data/####/libssl.so
- /data/data/####/m.xml
- /data/data/####/metrics_guid
- /data/data/####/n.xml
- /data/data/####/o.xml
- /data/data/####/proc_auxv
- /data/data/####/r.xml
- /data/data/####/resources.arsc
- /data/data/####/s.png
- /data/data/####/t.png
- /data/data/####/the-real-index
- /data/data/####/u.xml
- /data/data/####/v.png
- /data/data/####/w.png
- /data/data/####/x.png
- /data/data/####/y.png
- /data/data/####/z.9.png
- /data/media/####/log-2023-04-30.txt
- /data/misc/####/primary.prof
Miscellaneous:
Loads the following dynamic libraries:
- libapklkwes
- libhyapkcps
Uses the following algorithms to decrypt data:
- AES-CBC-PKCS5Padding
Gets information about network.
Displays its own windows over windows of other apps.
Requests the system alert window permission.
