Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.155.origin
- Android.Triada.178
- Android.Triada.248.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- 1####.####.34:19000
- 1####.####.57:10001
- a####.####.com
- huangda####.com
- i####.####.com
- l####.####.com
Запросы HTTP GET:
- 1####.####.57:10001/v1/order/get?phone=####&imei=####&sdk_version=####&c...
- a####.####.com/ando/i/mon?k=####&d=####
- huangda####.com/active!activeLog.action?provider=####&clickId=####&manu=...
- i####.####.com/ando-res/ads/0/9/837ec120-ccf8-4ad0-b6fd-1303ff645eca/773...
Запросы HTTP POST:
- 1####.####.34:19000/v2/chis
- l####.####.com/sdk.php
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/EOZTzhVG.jar
- <Package Folder>/cache/####/data_0
- <Package Folder>/cache/####/data_1
- <Package Folder>/cache/####/data_2
- <Package Folder>/cache/####/data_3
- <Package Folder>/cache/####/index
- <Package Folder>/code-1505609/SmsWioZQBjCjhUAG
- <Package Folder>/databases/####/cc.db
- <Package Folder>/databases/####/cc.db-journal
- <Package Folder>/databases/ECtY4vo5k2Ha0e_nbpvjvqL92a9JrtdU_2QbaqvcsZCiWCWJY
- <Package Folder>/databases/ECtY4vo5k2Ha0e_nbpvjvqL92a9JrtdU_2QbaqvcsZCiWCWJY-journal
- <Package Folder>/databases/ECtY4vo5k2Ha0e_nbpvjvqL92a9JrtdU_Dr9h9aIaKP-WY35VOQDmHY5FMtQ=
- <Package Folder>/databases/ECtY4vo5k2Ha0e_nbpvjvqL92a9JrtdU_Dr9h9aIaKP-WY35VOQDmHY5FMtQ=-journal
- <Package Folder>/databases/ECtY4vo5k2Ha0e_nbpvjvqL92a9JrtdU_Gp3uwAR0xi4=-journal
- <Package Folder>/databases/ECtY4vo5k2Ha0e_nbpvjvqL92a9JrtdU_HDlzCupUI61Wm9p82ST-HA==
- <Package Folder>/databases/ECtY4vo5k2Ha0e_nbpvjvqL92a9JrtdU_HDlzCupUI61Wm9p82ST-HA==-journal
- <Package Folder>/databases/ECtY4vo5k2Ha0e_nbpvjvqL92a9JrtdU_Jzck2L4Idqn2bBnEJk2Q6g==
- <Package Folder>/databases/ECtY4vo5k2Ha0e_nbpvjvqL92a9JrtdU_Jzck2L4Idqn2bBnEJk2Q6g==-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/databases/webviewCookiesChromium.db-journal
- <Package Folder>/databases/webviewCookiesChromium.db-journal (deleted)
- <Package Folder>/files/####/04f7d210-acdd-4438-a0de-fbf91f3e56e7.pic
- <Package Folder>/files/####/1CQOVsBUVGvVY_ksD8-Z7ILm5SN7rIVX
- <Package Folder>/files/####/1CQOVsBUVGvVY_ksD8-Z7ILm5SN7rIVX.new
- <Package Folder>/files/####/1CQOVsBUVGvVY_ksD8-Z7ILm5SN7rIVX.old (deleted)
- <Package Folder>/files/####/1a7478a2-98e7-4a6e-88e2-8bb5e4da98a7.pic
- <Package Folder>/files/####/32E2mLu3iU7VTF3Wk5qQzmAlv78Bz-cO.new
- <Package Folder>/files/####/3d8da4f1-6900-480f-be30-770ada9eb337.pic.temp
- <Package Folder>/files/####/4aMT0XImxbgiGQ6J
- <Package Folder>/files/####/7DQhFUQGqSyAQGmezfLOT8doQbeunvy1fLOJpYPaKRw=.new
- <Package Folder>/files/####/93de4638-c2f4-491b-a85e-2450b757f5f0.pic.temp
- <Package Folder>/files/####/ELnsK3skGrHmO3FCX17En1Nx_4HFv8mp.new
- <Package Folder>/files/####/HRMZaBbiRLGpcicxsPkFgEp8aE7EmvqK.new
- <Package Folder>/files/####/HXNoHnXywlMEXK9I.new
- <Package Folder>/files/####/Hd7IMB6RP3rG3hP5RpjXTA==
- <Package Folder>/files/####/MJOr5jhN-7w5AOyN-GRlMbw9Fow2BvrficcV5Av41fE=.new
- <Package Folder>/files/####/MlI8d7CCy4VYxScZwLsJaA==
- <Package Folder>/files/####/MlI8d7CCy4VYxScZwLsJaA==.new
- <Package Folder>/files/####/SIg5-FmwpEx1pLG8bKBCM4OU1WRMfUDP.new
- <Package Folder>/files/####/TjfNI1NjXBSJyZ4dz13FAA==
- <Package Folder>/files/####/TjfNI1NjXBSJyZ4dz13FAA==.new
- <Package Folder>/files/####/XqyuLtyXlE-OAdPwbk3INZ5jIa-__Esp.new
- <Package Folder>/files/####/XwXqh06ZSOKKu71V3iUDv7EK5kpPEVw-TApE33Wj0xA=.new
- <Package Folder>/files/####/a5h-KeiTeJzziHI6O4nLGZNHfjLRCMv8xtL7VQ==.new
- <Package Folder>/files/####/b460fd7a-ff2c-4822-a240-03e4e63af8c6.pic.temp
- <Package Folder>/files/####/dDHdqHrFm2T86RLK.zip
- <Package Folder>/files/####/da19860f-b31f-4821-b2df-a01cff45ba0c.pic.temp
- <Package Folder>/files/####/data.dat.tmp
- <Package Folder>/files/####/dea2a398-1e70-4a6f-a6f9-d0e215c910c5.pic.temp
- <Package Folder>/files/####/e9ddf2e9-c074-4958-8308-5ff63a749b66.pic.temp
- <Package Folder>/files/####/eIourAOHCgXj4t8uOhZN5qfIQ78=.new
- <Package Folder>/files/####/fKwxGRBs2Wgvmdtn2jEO_zdp2GE=.new
- <Package Folder>/files/####/h-kZTXV4KzW5p2R00eGwRuNht8yS4hEX.new
- <Package Folder>/files/####/jD5p-FNhikNE484SaZ53og==.new
- <Package Folder>/files/####/lPNu4aFM-1ygQkg4TvGq0sgoWj9MbhunnABzQA==.new
- <Package Folder>/files/####/libus.so
- <Package Folder>/files/####/mh3QhdcFL0mqd0TZhr88UANLV0A=
- <Package Folder>/files/####/nk9FYV7H-KwpIBlreG2Kd9HsdFIDMMo_iw-X0w==.new
- <Package Folder>/files/####/nyBf_ML8JgUyOKu7vjDVMB9rI5A=.new
- <Package Folder>/files/####/rbUFDKu_9l79adC8lc9hjsqTrWOnYVc7.new
- <Package Folder>/files/####/runner_info.prop.new
- <Package Folder>/files/####/sYZB5ovPcVtwGbV3XwPzShdB644oqrxRqZQr1WXlw-Y=.new
- <Package Folder>/files/####/sbcnua_f.zip
- <Package Folder>/files/####/utyQnV4sFQ64h0VVXUSch7098xY=
- <Package Folder>/files/####/vXyCZUB3uqOJb7PWS_c2Gp5Dafk=.new
- <Package Folder>/shared_prefs/pretw.xml
- <Package Folder>/shared_prefs/twj.xml
- <Package Folder>/shared_prefs/twj.xml.bak
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/zzconfig.xml
- <SD-Card>/.armsd/####/0bde99c4-89e0-4fd2-9a20-b0214834c2bd.res
- <SD-Card>/.armsd/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
- <SD-Card>/.armsd/####/750a98e7-0d3b-4399-8685-182de25ab07c.res
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
- <SD-Card>/.armsd/####/MP8MtaBuguN9jnuSwtN1kQ==
- <SD-Card>/.armsd/####/b076dccf-1dfd-4d95-be66-1b8524798b74.res
- <SD-Card>/.armsd/####/r_pkDgN4OhnkSa0D
- <SD-Card>/.env/.uunique.new
- <SD-Card>/.twservice/####/tw
- <SD-Card>/.twservice/qshp_3002_2206.zip
- <SD-Card>/Download/channel_conf
- <SD-Card>/Download/channel_conf1
Другие:
Запускает следующие shell-скрипты:
- /data/data/lfh.oni.fneaf.wilhldp/code-1505609/SmsWioZQBjCjhUAG -p lfh.oni.fneaf.wilhldp -c com.hoxq.lpve.uwisuq.a.a.c.b -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
- sh <Package Folder>/code-1505609/SmsWioZQBjCjhUAG -p <Package> -c com.hoxq.lpve.uwisuq.a.a.c.b -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
Загружает динамические библиотеки:
- tjqwr
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- DES
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
