Technical information
Malicious functions:
Executes code of the following detected threats:
- Android.BackDoor.2194
Network activity:
Connects to:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) www.go####.com:80
- TCP(TLS/1.0) 2####.58.211.110:443
DNS requests:
- api.aog####.com
- mt####.go####.com
- www.go####.com
HTTP GET requests:
- www.go####.com/complete/search?hl=####&client=####&q=####
File system changes:
Creates the following files:
- /data/data/####/DID_UUID
- /data/data/####/ag_installation
- /data/data/####/classes.dex
- /data/data/####/classes.dve
- /data/data/####/classes.jar
- /data/data/####/com.SecShell.tmp2271
- /data/data/####/com.SecShell.tmp2304
- /data/data/####/com.SecShell.tmp2336
- /data/data/####/com.SecShell.tmp2368
- /data/data/####/com.SecShell.tmp2411
- /data/data/####/com.SecShell.tmp2446
- /data/data/####/com.SecShell.tmp2487
- /data/data/####/com.SecShell.tmp2528
- /data/data/####/com.SecShell.tmp2559
- /data/data/####/com.SecShell.tmp2590
- /data/data/####/com.SecShell.tmp2635
- /data/data/####/com.SecShell.tmp2671
- /data/data/####/com.SecShell.tmp2702
- /data/data/####/com.SecShell.tmp2750
- /data/data/####/com.SecShell.tmp2781
- /data/data/####/com.SecShell.tmp2812
- /data/data/####/com.SecShell.tmp2853
- /data/data/####/com.SecShell.tmp2884
- /data/data/####/com.SecShell.tmp2915
- /data/data/####/com.SecShell.tmp2957
- /data/data/####/com.SecShell.tmp2990
- /data/data/####/com.SecShell.tmp3021
- /data/data/####/com.SecShell.tmp3063
- /data/data/####/com.SecShell.tmp3094
- /data/data/####/com.SecShell.tmp3125
- /data/data/####/com.SecShell.tmp3166
- /data/data/####/com.SecShell.tmp3197
- /data/data/####/com.SecShell.tmp3228
- /data/data/####/com.SecShell.tmp3269
- /data/data/####/com.SecShell.tmp3300
- /data/data/####/com.SecShell.tmp3331
- /data/data/####/com.SecShell.tmp3373
- /data/data/####/com.SecShell.tmp3404
- /data/data/####/com.SecShell.tmp3435
- /data/data/####/com.SecShell.tmp3478
- /data/data/####/com.SecShell.tmp3509
- /data/data/####/com.SecShell.tmp3540
- /data/data/####/com.SecShell.tmp3582
- /data/data/####/com.SecShell.tmp3613
- /data/data/####/com.SecShell.tmp3644
- /data/data/####/com.SecShell.tmp3686
- /data/data/####/com.SecShell.tmp3717
- /data/data/####/com.SecShell.tmp3748
- /data/data/####/com.SecShell.tmp3812
- /data/data/####/com.SecShell.tmp3843
- /data/data/####/com.SecShell.tmp3874
- /data/data/####/com.SecShell.tmp3915
- /data/data/####/com.SecShell.tmp3946
- /data/data/####/com.SecShell.tmp3977
- /data/data/####/com.aograph.android.agent.v1_com.an.killthermal.xml
Miscellaneous:
Executes the following shell scripts:
- netcfg
Loads the following dynamic libraries:
- SecShell
Uses the following algorithms to encrypt data:
- AES-CBC-PKCS5Padding
Uses the following algorithms to decrypt data:
- AES-CBC-PKCS5Padding
Accesses the ITelephony private interface.
Uses special library to hide executable bytecode.
Gets information about location.
