Monokle RAT

[gliderexpert]

ищу apk от СТЦ для исследования
Так же заинтересован в СТЦшном поделии под названием "netmonitor", тоже для андроида. Хотя бы скриншоты интерфейса.

 

[gliderexpert]

Неужели никто apk сэмпла не сохранил? Там есть прям очень интересные фичи.

https://www.lookout.com/documents/threat-reports/lookout-discovers-monokle-threat-report.pdf

Уважаемые фээсбешники, зашлите наконец мне на телефон свою малварь, я хочу ее изучить! )

 

[gliderexpert]

грусть-тоска-печаль (
очень-очень нужен кусочек кода из того apk который шаманит с корневыми SSL сертами в телефоне

 

[bratva]

грусть-тоска-печаль (
очень-очень нужен кусочек кода из того apk который шаманит с корневыми SSL сертами в телефоне

Друг мой, ты же профессионал Это не octo, крякнутый турками, который подросток из Тольятти чекает на вирустотале. Там распространение было минимальное, ссылку которую ты привел - единственный ресерч. Предполагаю, что билды поймали не сами, а им передали в рамках контракта по расследование инцидента из организации-цели. Такое никто не будет сливать в паблик.

Попробуй поговорить с кодерами, лол:
https://career.habr.com/resumes?company_ids[]=1000061867

Например: https://github.com/jloskin

Через СТЦ проходят сотни людей, текучка большая, большие сомнения, что даже на специальных заказах они могут хорошо контролировать вынос исходников. В лоб только не спрашивай, применяй СИ. Сначала установи контакт, потом поболтай по теме, поспрашивай по мелким заказам и если общение пошло, приплети Монокль. Можешь не только узнать много нового, но и получить прямые контакты разработчиков.

Пример болтливости по ViPole:

https://4pda.to/forum/index.php?showtopic=637557&view=findpost&p=67328084

P. S. Кстати, они там замазали имена девелоперов и их профили на linkedin в ресерче, но как минимум один человек находится без особых проблем в два клика.

 

[gliderexpert]

Такое никто не будет сливать в паблик.

Надежда умирает последней.
Пока не настолько актуальная задача чтобы пентестить сотрудников СТЦ )
К тому же персонажи с линкедина вполне могут оказаться фейк-приманкой, что требует отдельной проверки.
В общем добыть инфу от разработчиков - задача вполне реальная, но имеет высокий уровень сложности.
+ вокруг этих разработчиков явно пасутся определенные кадры, которые не известно как среагируют на попытку ресерча периметра стц )

 

[Behemoth]

Да даже если найти сэмплы, то какой в них смысл? Отчет 2019 года, значит возможности малвари ограничены 9 андроидом. Судя по отчету

Remounts system partition to install attacker specified certificate in /system/etc/security/cacerts/)

c 10 такой подход не должен работать, remount /system не отрабатывает

Неужели никто apk сэмпла не сохранил? Там есть прям очень интересные фичи.

https://www.lookout.com/documents/threat-reports/lookout-discovers-monokle-threat-report.pdf

Уважаемые фээсбешники, зашлите наконец мне на телефон свою малварь, я хочу ее изучить! )

 

[th3tr0ll]

Hello, if you still want to take a look at a sample: you can get hashID 8ded74c9c7c61273adf9888506870911944ca541 here https://github.com/fkie-cad/DeStroid/blob/master/ground_truth/monokle.apk

 

[gliderexpert]

Hello, if you still want to take a look at a sample: you can get hashID 8ded74c9c7c61273adf9888506870911944ca541 here https://github.com/fkie-cad/DeStroid/blob/master/ground_truth/monokle.apk

Thank you very much!

 

[gliderexpert]

немного инфы про СТЦ и Монокль

 

[bratva]

Такая мутная история Текстовая версия: https://dept.one/story/parubets/ (возможно позже выскажу свои мысли в этой теме: https://xss.pro/threads/128303/)

Технический отчет отсюда: https://citizenlab.ca/2024/12/devic...returned-with-monokle-type-spyware-installed/

Технический анализ

Наш анализ подтверждает, что приложение, обнаруженное Первым департаментом, является вредоносным и представляет собой троянскую версию настоящего приложения Cube Call Recorder. Подлинное (не вредоносное) приложение Cube Call Recorder представлено в Google Play Store и предназначено для автоматической записи входящих телефонных звонков, а также звонков в приложениях для обмена сообщениями.

Рисунок 1. Один и тот же значок используется как в шпионской, так и в легальной версии приложения Cube Call Recorder.

SHA-256 вредоносного приложения
737f60749c1919ad22102be27d52ba199ec4b707a985c42011b22ce0a4512c90

Функциональность шпионских программ

Первый этап

В разрешениях, запрашиваемых троянским приложением, есть некоторые намеки на функциональность шпионской программы. Шпионская программа запрашивает множество разрешений, которые легитимная версия приложения не запрашивает, в том числе:

• доступ к информации о местоположении, когда приложение не используется,
• чтение и отправка SMS-сообщений,
• установка дополнительных пакетов,
• чтение записей календаря,
• запись снимков экрана,
• вывод списка других приложений на устройстве,
• возможность ответа на телефонные звонки,
• получение информации о пользовательском аккаунте,
• запись видео при помощи камеры.

Шпионская программа также имеет несколько общих разрешений с легитимным приложением (которые также характерны для шпионских программ), например:

• доступ к точному местоположению,
• запись телефонных звонков,
• получение информации о контактах пользователя.

Разрешение	Вредоносное приложение	Нормальное приложение
Доступ к точному местоположению	+	+
Запись телефонных звонков	+	+
Получение информации о контактах пользователя	+	+
Доступ к информации о местоположении, когда приложение не используется	+	x
Чтение и отправка SMS-сообщений	+	x
Установка дополнительных пакетов	+	x
Чтение записей календаря	+	x
Запись снимков экрана	+	x
Вывод списка других приложений на устройстве	+	x
Возможность ответа на телефонные звонки	+	x
Получение информации о пользовательском аккаунте	+	x
Запись видео при помощи камеры	+	x

Таблица 1: Различия в разрешениях между программой-шпионом и легитимным приложением, под которое она маскируется.

Большая часть вредоносного функционала приложения содержится в классе com.android.twe1ve - классе, который является уникальным для данного образца шпионского ПО и отсутствует в приложении Cube Call Recorder, доступном в Google Play Store.

Большая часть вредоносной функциональности приложения скрыта в зашифрованном втором этапе работы шпионской программы. После загрузки шпионской программы на телефон и ее выполнения второй этап расшифровывается и загружается в память. Такой способ обфускации может помочь скрыть вредоносную активность от некоторых антивирусных программ.

Второй этап представляет собой файл dex, зашифрованный с помощью простого XOR-шифрования со статическим повторяющимся ключом. Второй этап хранится в файле данных под названием license, расположенном в директории assets распакованного apk-файла. Java-класс com.catalinagroup.callrecorder.App загружает lib/arm64-v8a/library.so, который предоставляет функциональность для com.system.info.Info для распаковки второго этапа.

static {       System.loadLibrary("rary");

   }

Java-код для загрузки нативной библиотеки ARM, которая отвечает за распаковку второго этапа шпионской программы.
Затем приложение обращается к загруженной библиотеке для расширения приложения, присоединяя активы/библиотеку в качестве базового контекста.

public void attachBaseContext(Context context) {       Info.get(context, "license");

       super.attachBaseContext(context);

   }

Java-код для загрузки расшифрованного файла лицензии в память в контексте вредоносного приложения.


Вторая стадия

Вторая стадия шпионской программы содержит дополнительные библиотеки основного приложения Android в классе com.android.twe1ve, а также импортирует другие распространенные криптографические и Android-библиотеки. Он также включает несколько библиотек с открытым исходным кодом: RTMP для потоковой передачи аудио/видео в реальном времени и библиотеку SMB, предположительно для загрузки файлов, взятых с устройства.

Второй этап содержит множество обычных шпионских возможностей, включая:

• отслеживание местоположения,
• захват экрана,
• перехват нажатий клавиатуры,
• запись звонков,
• извлечение файлов с устройства,
• извлечение сохраненных паролей,
• чтение сообщений из других приложений для обмена сообщениями,
• добавление нового администратора устройства,
• внедрение Javascript,
• выполнение команд командной строки,
• извлечение пароля разблокировки устройства.

Кроме того, он содержит функции для расшифровки настроек и файлов данных, которые также хранятся в директории assets в файлах со случайными именами.

Интересно, что в коде мы обнаружили несколько ссылок на iOS, что говорит о возможности существования iPhone-версии этой шпионской программы.

MwBi.MwLBLiL = new MwIN.MwKuK.MwKuK.MwIN.Mwuk("settingsName", 11, 2); MwBi.MwiB = new MwIN.MwKuK.MwKuK.MwIN.Mwuk("iosPermissionsName", 11, 3);

Отсылка на разрешения iOS в коде настроек.

Команды командно-контрольной инфраструктуры также ссылаются на iOS: «ShowiCloudLogin» и „GetHealthKit“. Это те же отсылки на iOS, о которых Lookout первоначально сообщала в 2019 году.

Новая версия Monokle?

Технические эксперты The First Department заподозрили, что эта шпионская программа может быть связана с семейством Monokle, о котором компания Lookout сообщила в 2019 году. Lookout описал Monokle как продвинутое мобильное шпионское ПО, имеющее связи с российскими угрозами. В то время Lookout связывал Monokle с компанией ООО «Специальный технологический центр», базирующейся в Санкт-Петербурге.

В ходе анализа образца, предоставленного The First Department, мы обнаружили ключевые сходства с оригинальным образцом шпионского ПО Monokle, но также и некоторые различия, что позволило нам предположить, что это либо обновленная версия Monokle, либо она была создана путем повторного использования большей части оригинального кода Monokle.

Сходства C&C

Самым убедительным доказательством того, что приложение, установленное на устройстве этого человека, связано с образцом Monokle из отчета Lookout за 2019 год, является совпадение команд, выдаваемых командно-контрольным сервером, включая множество одинаковых строк. И этот образец, и образец 2019 года также используют строку BaseSystemCommand в качестве префикса для всех командных строк, что, по-видимому, уникально для этих двух образцов.

Наш сэмпл	Lookout Monokle
BaseSystemResponse_ExecuteShellCommand BaseSystemResponse_GetApplicationsList BaseSystemResponse_GetCallsList BaseSystemResponse_GetLocation BaseSystemResponse_GetScreenPassword BaseSystemResponse_GetSmsList BaseSystemResponse_InstallCertificate BaseSystemResponse_GetKeyLogging BaseSystemCommand_InstallApplication BaseSystemCommand_SetAudioRecordMode	baseSystem.executeShellCommand. baseSystem.getApplicationsList baseSystem.getCallsList baseSystem.getLocation baseSystem.getScreenPassword baseSystem.getSmsList baseSystem.installCertificate baseSystem.getKeyLogging baseSystem.installApplication baseSystem.setAudioRecordMode

Таблица 2: Отдельные сходства C&C

Кроме того, те же команды, связанные с iOS, которые присутствуют в этой выборке, были замечены компанией Lookout в отчете за 2019 год.

Дополнительные сходства

Есть и другие сходства между образцом, выявленным The First Department, и образцом шпионского ПО Monokle 2019 года. Однако эти дополнительные сходства включают несколько общих тактик шпионского ПО и не были бы столь значительными сами по себе, если бы не уникальные совпадения в области командования и управления.

Использование похожих папок для инсценировки вредоносного ПО

Образец, выявленный The First Department, использует папку assets для хранения других стадий шпионского ПО и настроек, а также для расшифровки этих данных с помощью статического повторяющегося ключа XOR. Согласно отчету Lookout, такой же TTP использовала компания Monokle.

Использование настроек доступности и другие сходства

Образец также использует настройки доступности, что было отмечено в отчете Lookout. Многие другие возможности, присутствующие в этом образце, такие как геозонирование, потоковое аудио, сбор данных о здоровье и запись пароля для разблокировки экрана, также присутствуют в отчете Lookout о Monokle.

Троянизация/перехват легитимных приложений

Эта шпионская программа была упакована как версия легитимного приложения, что является распространенной техникой. Monokle также обычно упаковывалась как троянская версия легитимного приложения.


Отличия от образца Lookout Monokle

Несмотря на то что в ходе анализа было обнаружено множество сходств между этим образцом и оригинальным отчетом о Monokle, есть и некоторые различия, которые важно отметить. Имена конкретных файлов, хранящихся в папке assets, изменились, а шифрование файла конфигурации более сложное, чем в образце 2019 года. В новом образце используется другой ключ, чем на втором этапе, что значительно усложняет расшифровку и извлечение дополнительной информации о командовании и управлении.

Изменились и некоторые разрешения. Теперь приложение запрашивает новые разрешения, такие как «ACCESS_BACKGROUND_LOCATION», «INSTALL_PACKAGES» и «LOCAL_MAC_ADDRESS». Многие специфические для сторонних приложений разрешения, такие как «org.thoughtcrime.securesms.ACCESS_SECRETS» и «com.android.browser.permission.READ_HISTORY_BOOKMARKS», были удалены. Некоторые разрешения Android, такие как «USE_FINGERPRINT» и «SET_WALLPAPER», также были удалены.

Однако даже с учетом этих изменений многие значительные сходства в операциях, функциональности и геополитических мотивах заставляют нас предположить, что это либо обновленная версия шпионской программы Monokle, либо новое программное обеспечение, созданное путем повторного использования большей части того же кода.

Приложение - Индикаторы компроментации

SHA-256 Sum

737f60749c1919ad22102be27d52ba199ec4b707a985c42011b22ce0a4512c90

Commands sent by the C2 Server

BaseSystemCommand_ApplyAgentUpdate
BaseSystemCommand_ClearResults
BaseSystemCommand_DeleteFile
BaseSystemCommand_DeviceControl
BaseSystemCommand_DeviceReset
BaseSystemCommand_ExecuteShellCommand
BaseSystemCommand_GetAccessibility
BaseSystemCommand_GetAgentInfo
BaseSystemCommand_GetAppUsageStatsList
BaseSystemCommand_GetApplicationsList
BaseSystemCommand_GetCallsList
BaseSystemCommand_GetContactsList
BaseSystemCommand_GetDeviceInfo
BaseSystemCommand_GetEmailsList
BaseSystemCommand_GetFile
BaseSystemCommand_GetFilesList
BaseSystemCommand_GetHealthKit
BaseSystemCommand_GetInstantChatsList
BaseSystemCommand_GetKeyLogging
BaseSystemCommand_GetLocalSettingsList
BaseSystemCommand_GetMeetingsList
BaseSystemCommand_GetMmsList
BaseSystemCommand_GetNotesList
BaseSystemCommand_GetPreparedTaskResultsData
BaseSystemCommand_GetRegistryKeysList
BaseSystemCommand_GetSmsList
BaseSystemCommand_InjectJS
BaseSystemCommand_InstallApplication
BaseSystemCommand_InstallCertificate
BaseSystemCommand_MakeCall
BaseSystemCommand_PrepareFileArchive
BaseSystemCommand_ScheduleConnection
BaseSystemCommand_SendSms
BaseSystemCommand_SetAccessibility
BaseSystemCommand_SetAgentSettings
BaseSystemCommand_SetAgentUid_deprecated
BaseSystemCommand_SetApplicationRestriction
BaseSystemCommand_SetAudioListenMode
BaseSystemCommand_SetAudioRecordMode
BaseSystemCommand_SetAudioStreamingMode
BaseSystemCommand_SetCallDropMode
BaseSystemCommand_SetCallRecordMode
BaseSystemCommand_SetCallbackMode
BaseSystemCommand_SetCatchFiles
BaseSystemCommand_SetCommunicationMode_deprecated
BaseSystemCommand_SetConnectPeriod_deprecated
BaseSystemCommand_SetControlPhones_deprecated
BaseSystemCommand_SetEventActions
BaseSystemCommand_SetFileCrypto_deprecated
BaseSystemCommand_SetGeofencesList
BaseSystemCommand_SetInstantChatAccumMode
BaseSystemCommand_SetKeyLogging
BaseSystemCommand_SetKeychain
BaseSystemCommand_SetLocationTracking
BaseSystemCommand_SetPhotoShotMode
BaseSystemCommand_SetScreenCastRecordMode
BaseSystemCommand_SetScreenPasswordMode
BaseSystemCommand_SetScreenRecordMode
BaseSystemCommand_SetScreenShotMode
BaseSystemCommand_SetServerAddress_deprecated
BaseSystemCommand_SetTransportCrypto_deprecated
BaseSystemCommand_SetUsbTunnelPort_deprecated
BaseSystemCommand_SetVideoRecordMode
BaseSystemCommand_SetVideoStreamingMode
BaseSystemCommand_SetWatchFolders
BaseSystemCommand_ShowMessage
BaseSystemCommand_ShowiCloudLogin
BaseSystemCommand_SqlQuery
BaseSystemCommand_StopScheduledTasks
BaseSystemCommand_ToggleBluetooth
BaseSystemCommand_ToggleGPS
BaseSystemCommand_ToggleWifi
BaseSystemCommand_UninstallApplication
BaseSystemCommand_UploadFileToAgent
BaseSystemResponse_CancelAllCommands
BaseSystemResponse_Error
BaseSystemResponse_ExecuteShellCommand
BaseSystemResponse_GetAccessibility
BaseSystemResponse_GetAccountsList
BaseSystemResponse_GetAgentInfo
BaseSystemResponse_GetAppUsageStatsList
BaseSystemResponse_GetApplicationsList
BaseSystemResponse_GetBrowserBookmarks
BaseSystemResponse_GetBrowserHistory
BaseSystemResponse_GetBrowserTracking
BaseSystemResponse_GetCallsList
BaseSystemResponse_GetCapabilities
BaseSystemResponse_GetContactsList
BaseSystemResponse_GetDeviceInfo
BaseSystemResponse_GetEmailsList
BaseSystemResponse_GetEventTracking
BaseSystemResponse_GetFile
BaseSystemResponse_GetFilesList
BaseSystemResponse_GetGeofencesList
BaseSystemResponse_GetHealthKit
BaseSystemResponse_GetInstantChatsList
BaseSystemResponse_GetInterfacesStates_deprecated
BaseSystemResponse_GetJSOutput
BaseSystemResponse_GetKeyLogging
BaseSystemResponse_GetKeychain
BaseSystemResponse_GetLocalSettingsList
BaseSystemResponse_GetLocation
BaseSystemResponse_GetLocationTracking
BaseSystemResponse_GetMMSList
BaseSystemResponse_GetMeetingsList
BaseSystemResponse_GetNetworkingData_deprecated
BaseSystemResponse_GetNotesList
BaseSystemResponse_GetNotificationsList_deprecated
BaseSystemResponse_GetPreparedTaskResultsList
BaseSystemResponse_GetRegistryKeysList
BaseSystemResponse_GetSMSList
BaseSystemResponse_GetScheduledTasksList
BaseSystemResponse_GetScreenPassword
BaseSystemResponse_GetUserDictList
BaseSystemResponse_SetAudioRecordMode
BaseSystemResponse_SetScreenRecordMode
BaseSystemResponse_SetVideoRecordMode
BaseSystemResponse_SqlQuery
BaseSystemResponse_UploadFileToAgent


Поля в файлах данных и настроек

AGENT_SETTINGS(1, "agentSettings"),
SERVICE_KILLED(2, "serviceKilled"),
RADIO_INFO(3, "radioInfo"),
TURN_GPS_ON(4, "turnGpsOn"),
LOCATION_TRACKING_ON(5, "locationTrackingOn"),
LOCATION_TRACKING_PERIOD(6, "locationTrackingPeriod"),
HAVE_SCREEN_CAP_PERMISSION(7, "haveScreenCapPermission"),
KEY_LOGGING_MODE(8, "keyLoggingMode"),
ACCESSIBILITY_MODE(9, "accessibilityMode"),
ACCESSIBILITY_MASKS(10, "accessibilityMasks"),
SCREEN_UNLOCK_HOOK(11, "screenUnlockHook"),
SCREEN_CAST_RECORD_PARAMS(12, "screenCastRecordParams"),
SCREEN_SHOTS_SETTINGS(13, "screenShotsSettings"),
PHOTO_SHOT_SETTINGS(14, "photoShotSettings"),
PHOTO_SHOTS_CURRENT_QUANTITY(15, "photoShotsCurrentQuantity"),
CURRENT_AUDIO_TASK(16, "currentAudioTask"),
CURRENT_VIDEO_TASK(17, "currentVideoTask"),
CURRENT_AUDIO_LISTEN_TASK(18, "currentAudioListenTask"),
LEVEL_SETTINGS(19, "levelSettings"),
GEOFENCES(20, "geofences"),
SCHEDULED_COMMANDS(22, "scheduledCommands"),
COMMANDS(23, "commands"),
SCHEDULED_COMMANDS_ID_TIME(24, "scheduledCommandsIdTime"),
LAST_COMMAND_ID(25, "lastCommandId"),
EVENT_ACTION_LIST(26, "eventActionList"),
INSTANT_CHAT_ACCUMULATE_MODE(27, "instantChatAccumulateMode"),
CALL_RECORD_MODE(28, "callRecordMode"),
CALL_RECORD_SOURCE_PHONE(29, "callRecordSourcePhone"),
CALL_RECORD_SOURCE_IM(30, "callRecordSourceIM"),
RECORD_CALL_MASKS(31, "recordCallMasks"),
DROP_CALL_MASKS(32, "dropCallMasks"),
APPLICATION_RESTRICTION_LIST(33, "applicationRestrictionList"),
NEED_IMMEDIATELY_CONNECTION_TIME(34, "needImmediatelyConnectionTime"),
WATCH_FOLDERS(35, "watchFolders"),
CATCH_FILES(36, "catchFiles"),
LAST_DEVICE_ON_TIME(37, "lastDeviceOnTime"),
TASK_ID_CALL_RECORD(50, "taskIdCallRecord"),
TASK_ID_CALL_DROP(51, "taskIdCallDrop"),
TASK_ID_SCREEN_PASSWORD(52, "taskIdScreenPassword"),
TASK_ID_KEYLOGGING(53, "taskIdKeylogging"),
TASK_ID_LOCATION_TRACKING(54, "taskIdLocationTracking"),
TASK_ID_ACCESSIBILITY(55, "taskIdAccessibility"),
RECS__AUDIO(100, "RECS_AUDIO"),
RECS__PHOTO(101, "RECS_PHOTO"),
RECS__VIDEO(102, "RECS_VIDEO"),
RECS__SCREEN__SHOT(103, "RECS_SCREEN_SHOT"),
RECS__RESERVED(104, "RECS_RESERVED"),
RECS__ACCESSIBILITY(105, "RECS_ACCESSIBILITY"),
RECS__TASK__RESULTS(106, "RECS_TASK_RESULTS"),
RECS__BACKUP(107, "RECS_BACKUP"),
RECS__FILE__ARCHIVES(108, "RECS_FILE_ARCHIVES"),
RECS__CATCH__FILES(109, "RECS_CATCH_FILES"),
FN__KEY__LOGS(120, "FN_KEY_LOGS"),
FN__ACCESSIBILITY(121, "FN_ACCESSIBILITY"),
FN__SPELL(122, "FN_SPELL"),
FN__RECORDS(123, "FN_RECORDS"),
FN__SHUTDOWN__TRACKING(124, "FN_SHUTDOWN_TRACKING"),
FN__DATA__MESSAGES(125, "FN_DATA_MESSAGES"),
FN__HISTORY(126, "FN_HISTORY"),
FN__LOCATION__TRACKING(127, "FN_LOCATION_TRACKING"),
FN__PASSWORD__LIST(128, "FN_PASSWORD_LIST"),
FN__WATCH__FOLDERS(129, "FN_WATCH_FOLDERS"),
FN__CATCH__DATA__FILE(130, "FN_CATCH_DATA_FILE"),
UPDATE_FILE(150, "updateFile"),
IS_INSTALLED_UPDATE(151, "isInstalledUpdate");


Разрешения, запрашиваемые шпионской программой, которых нет в легитимной версии приложения:

android.permission.ACCESS_BACKGROUND_LOCATION
android.permission.ACCESS_NOTIFICATION_POLICY
android.permission.ANSWER_PHONE_CALLS
android.permission.AUTHENTICATE_ACCOUNTS
android.permission.BATTERY_STATS
android.permission.BIND_ACCESSIBILITY_SERVICE
android.permission.BLUETOOTH_ADMIN
android.permission.CALL_PHONE
android.permission.CAMERA
android.permission.CAPTURE_AUDIO_OUTPUT
android.permission.CHANGE_NETWORK_STATE
android.permission.CHANGE_WIFI_STATE
android.permission.GET_ACCOUNTS
android.permission.INSTALL_PACKAGES
android.permission.LOCAL_MAC_ADDRESS
android.permission.MANAGE_EXTERNAL_STORAGE
android.permission.MODIFY_PHONE_STATE
android.permission.PACKAGE_USAGE_STATS
android.permission.PROCESS_OUTGOING_CALLS
android.permission.QUERY_ALL_PACKAGES
android.permission.READ_CALENDAR
android.permission.READ_CALL_LOG
android.permission.READ_FRAME_BUFFER
android.permission.READ_PRIVILEGED_PHONE_STATE
android.permission.READ_SMS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.RECEIVE_SMS
android.permission.REQUEST_DELETE_PACKAGES
android.permission.REQUEST_INSTALL_PACKAGES
android.permission.SCHEDULE_EXACT_ALARM
android.permission.SEND_SMS
android.permission.TEMPORARY_ENABLE_ACCESSIBILITY
android.permission.WRITE_SECURE_SETTINGS
android.permission.WRITE_SETTINGS

 

[bratva]

У кого есть живая подписка на VT, перелейте, плиз, файл куда-нибудь: https://www.virustotal.com/gui/file...2ba199ec4b707a985c42011b22ce0a4512c90/details