Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.247.origin
- Android.Triada.248.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- 1####.####.1
- 1####.####.190:8088
- 1####.####.1:8088
- 1####.####.88
- 1####.####.88:8999
- 6####.####.140
- i####.####.com
- l####.####.com
- res####.####.com
Запросы HTTP GET:
- 1####.####.190:8088/sdkserver/adData/adInfo/sdk/1501432303194.jar
- 1####.####.88/catServer/upload/images/2eec1d8c-9fb1-48a1-a330-4301578dfd...
- i####.####.com/ando-res/m/A6EGb*Py4u1FtWQ3Rk0AdTbn3l2VkFbr8rEbwi8yQXTViC...
- res####.####.com/v3/ip?key=####
Запросы HTTP POST:
- 1####.####.1/sdkserver/v2/serviceError
- 1####.####.1:8088/sdkserver/v2/addSdk
- 1####.####.88:8999/catServer/recommend!status.action
- 6####.####.140/ando/x/liv?app_id=####&r=####
- l####.####.com/sdk.php
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- <Package Folder>/cache/####/428c7300a3f81f769ff515f49e79109e77ff29467747b72eb8d3ad6d68a81126.0.tmp
- <Package Folder>/cache/####/6f14f16979038533d70b34ffbfd838607d1529fc94d42388439f1be9866c5cab.0.tmp
- <Package Folder>/cache/####/78a61986efe3116ccebd12b90892273f79685a4e93e049e3ee09ea99a1d4eb8a.0.tmp
- <Package Folder>/cache/####/data_0
- <Package Folder>/cache/####/data_1
- <Package Folder>/cache/####/data_2
- <Package Folder>/cache/####/data_3
- <Package Folder>/cache/####/f36c2b12b49fb61370cda958023693ac64043ead5f93b4efefd94ce0b20f359d.0.tmp
- <Package Folder>/cache/####/index
- <Package Folder>/cache/####/journal.tmp
- <Package Folder>/code-3162798/mnXXA6_NZBDuQXJa
- <Package Folder>/databases/cc.db
- <Package Folder>/databases/cc.db-journal
- <Package Folder>/databases/download.db-journal
- <Package Folder>/databases/lgOt_u8WkeXVSaYdg1pwn4Xw5M9s8ohUBeHhidVBqSk=_MJ7bk9SYpVjc5Go7WnOynQ==
- <Package Folder>/databases/lgOt_u8WkeXVSaYdg1pwn4Xw5M9s8ohUBeHhidVBqSk=_MJ7bk9SYpVjc5Go7WnOynQ==-journal
- <Package Folder>/databases/lgOt_u8WkeXVSaYdg1pwn4Xw5M9s8ohUBeHhidVBqSk=_NGF7spNw7JQp94laY3aECQ==
- <Package Folder>/databases/lgOt_u8WkeXVSaYdg1pwn4Xw5M9s8ohUBeHhidVBqSk=_NGF7spNw7JQp94laY3aECQ==-journal
- <Package Folder>/databases/lgOt_u8WkeXVSaYdg1pwn4Xw5M9s8ohUBeHhidVBqSk=_fI5kGN0McMc=-journal
- <Package Folder>/databases/lgOt_u8WkeXVSaYdg1pwn4Xw5M9s8ohUBeHhidVBqSk=_kZN-7NSzyEfMudSAOvW490TM7TQ=
- <Package Folder>/databases/lgOt_u8WkeXVSaYdg1pwn4Xw5M9s8ohUBeHhidVBqSk=_kZN-7NSzyEfMudSAOvW490TM7TQ=-journal
- <Package Folder>/databases/lgOt_u8WkeXVSaYdg1pwn4Xw5M9s8ohUBeHhidVBqSk=_tJz9jMjK1bou0JxH
- <Package Folder>/databases/lgOt_u8WkeXVSaYdg1pwn4Xw5M9s8ohUBeHhidVBqSk=_tJz9jMjK1bou0JxH-journal
- <Package Folder>/databases/ua.db
- <Package Folder>/databases/ua.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/databases/webviewCookiesChromium.db-journal (deleted)
- <Package Folder>/files/####/0ZJ_9GHaf8PMeQ7R_JNJ89Dkl0xqBxdG
- <Package Folder>/files/####/0ZJ_9GHaf8PMeQ7R_JNJ89Dkl0xqBxdG.new
- <Package Folder>/files/####/4OqgoLEZagsn5jeE3I2U8LsY7WabDgMLLQj2cQ==.new
- <Package Folder>/files/####/585GApNtflxmHaixdWlD3Q==
- <Package Folder>/files/####/5CQR61d80KRY8bWEsES5fQ==
- <Package Folder>/files/####/5CQR61d80KRY8bWEsES5fQ==.new
- <Package Folder>/files/####/62-VygsW2cNY1B42ATmJhXdNnjXz1NZI.new
- <Package Folder>/files/####/HTeE_CubJnMOgxnShxpsb8wpeT2X8OqP.new
- <Package Folder>/files/####/INvkEZyqF1hVQP56HvT_2cXHJqc=.new
- <Package Folder>/files/####/UoUXjmfonnEZRiSghanCE6hUeuE=.new
- <Package Folder>/files/####/VEOluHYAQFWB2wWB64nDQ7ixgtnP_kfq.new
- <Package Folder>/files/####/VPJygCIgMD_QtXSPTFMk3g==
- <Package Folder>/files/####/VvxvOkwGeSFYyHRmlzY6PMgcsok=.new
- <Package Folder>/files/####/WHvvbWKfan3D2Yz0aDfqGVNIn1jrBbjR.new
- <Package Folder>/files/####/YDRF-sBWGOR4gTzh
- <Package Folder>/files/####/YDRF-sBWGOR4gTzh.new
- <Package Folder>/files/####/a26LrnbYe0ja5CNrnbMdxy_0Xj2t0fFVmto7Dg==.new
- <Package Folder>/files/####/a6fDcOX0UdeR5d5648T_p1XxmwY=
- <Package Folder>/files/####/aqG4ZjCZ644Vp5Ug
- <Package Folder>/files/####/aqG4ZjCZ644Vp5Ug.temp
- <Package Folder>/files/####/ayj2NVmGmBGbUqxhm_HcyuoFNk6UN0nz3zCauhnUWLs=.new
- <Package Folder>/files/####/bgFetjF8RS8yIeAkegZfa5UePwE=
- <Package Folder>/files/####/dKuHug42Era_GvqmxcN-kAJwXz_XDZYAvcKoho-b9t8=.new
- <Package Folder>/files/####/g8QGcUNzW6gfd_kbFmDsw9w8gTE=
- <Package Folder>/files/####/g8QGcUNzW6gfd_kbFmDsw9w8gTE=.new
- <Package Folder>/files/####/l0-Hi6IjgK-3CRAt.zip
- <Package Folder>/files/####/mWR3p5BD1ddPADYc1_UTBQ==.new
- <Package Folder>/files/####/njsbjheDeQTY_z2-ZqbUHFywrx22dbvZ.new
- <Package Folder>/files/####/runner_info.prop.new
- <Package Folder>/files/####/s5ahL8oJkjLCSTGf-ePYKnuDQGVuSkLmm8k9GLcKACI=.new
- <Package Folder>/files/####/txdcxq_f.zip
- <Package Folder>/files/####/uhcy5rP397sY872yCMxeBwbxw6B6Po65jD1Dg77MzCg=.new
- <Package Folder>/files/####/wdijiSwKoP7U7jQD53776T1bzHzNWzIE.new
- <Package Folder>/files/####/y7pDhAPM-pF16ihljIsWVQ==
- <Package Folder>/files/####/y7pDhAPM-pF16ihljIsWVQ==.new
- <Package Folder>/files/####/zBXwbJc1aZZRIAwsayotzWgWze1sNk-QQRnCsA==.new
- <Package Folder>/files/####/zKlljgm9iTUOJmU5_0LBP6iriSq4mG6w.new
- <Package Folder>/files/patch.jar
- <Package Folder>/files/rdata_comandroidsupport.new
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/shared_prefs/share_data.xml
- <Package Folder>/shared_prefs/share_data.xml.bak
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <SD-Card>/.armsd/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
- <SD-Card>/.armsd/####/MP8MtaBuguN9jnuSwtN1kQ==
- <SD-Card>/.armsd/####/r_pkDgN4OhnkSa0D
- <SD-Card>/.env/.uunique
- <SD-Card>/.env/.uunique.new
Другие:
Запускает следующие shell-скрипты:
- /data/data/com.bvoern.ohn.rpjrytp/code-3162798/mnXXA6_NZBDuQXJa -p com.bvoern.ohn.rpjrytp -c com.android.support.vajdxa.hi.hi.pw.c -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
- sh <Package Folder>/code-3162798/mnXXA6_NZBDuQXJa -p <Package> -c com.android.support.vajdxa.hi.hi.pw.c -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- RSA-ECB-PKCS1Padding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
