Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.155.origin
- Android.Triada.178
- Android.Triada.248.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- 1####.####.34:19000
- 1####.####.57:10001
- a####.####.com
- huangda####.com
- i####.####.com
- l####.####.com
Запросы HTTP GET:
- 1####.####.57:10001/v1/order/get?phone=####&imei=####&sdk_version=####&c...
- a####.####.com/ando/i/mon?k=####&d=####
- huangda####.com/resource!resource?resTypes=####&appid=####&channel=####&...
- i####.####.com/ando-res/ads/black/640x270.png
Запросы HTTP POST:
- 1####.####.34:19000/v2/chis
- l####.####.com/sdk.php
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/EOZTzhVG.dex (deleted)
- <Package Folder>/EOZTzhVG.jar
- <Package Folder>/cache/####/data_0
- <Package Folder>/cache/####/data_1
- <Package Folder>/cache/####/data_2
- <Package Folder>/cache/####/data_3
- <Package Folder>/cache/####/index
- <Package Folder>/code-356607/Qk_MWoQnaU3vR378
- <Package Folder>/databases/####/cc.db
- <Package Folder>/databases/####/cc.db-journal
- <Package Folder>/databases/cSfRVa-PTpkdVapwbs2RFdB2D33nLsdd_-1QgrD8DZeDGfGBhz-vNXh3x5po=
- <Package Folder>/databases/cSfRVa-PTpkdVapwbs2RFdB2D33nLsdd_-1QgrD8DZeDGfGBhz-vNXh3x5po=-journal
- <Package Folder>/databases/cSfRVa-PTpkdVapwbs2RFdB2D33nLsdd_14XU8xENnVmvJmSN
- <Package Folder>/databases/cSfRVa-PTpkdVapwbs2RFdB2D33nLsdd_14XU8xENnVmvJmSN-journal
- <Package Folder>/databases/cSfRVa-PTpkdVapwbs2RFdB2D33nLsdd_NLSdbRspHY8=-journal
- <Package Folder>/databases/cSfRVa-PTpkdVapwbs2RFdB2D33nLsdd_tgK74gOM_VcDYQrj_xFBoQ==
- <Package Folder>/databases/cSfRVa-PTpkdVapwbs2RFdB2D33nLsdd_tgK74gOM_VcDYQrj_xFBoQ==-journal
- <Package Folder>/databases/cSfRVa-PTpkdVapwbs2RFdB2D33nLsdd_urC2N1_2i_PT3N5NmUePDg==
- <Package Folder>/databases/cSfRVa-PTpkdVapwbs2RFdB2D33nLsdd_urC2N1_2i_PT3N5NmUePDg==-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/databases/webviewCookiesChromium.db-journal (deleted)
- <Package Folder>/files/####/-L7BSezUtWIryG8FGwHqbHZ6_AJIpF68.new
- <Package Folder>/files/####/08ffb419-eeb1-449b-a797-e0f0d4463c70.pic
- <Package Folder>/files/####/0CaMas1ep_13BegYjNckDA==.new
- <Package Folder>/files/####/14b4FXqYb3RvEHwARTn3Ntq0SQKlxh_LO3y5j_98-I4=.new
- <Package Folder>/files/####/2ey6diUnK_WpdMdXsDcS9_2B3UH1dEiGoh5MFD_tojY=.new
- <Package Folder>/files/####/379facd9-b1e7-44e6-b123-4c8bc9855c1e.pic.temp
- <Package Folder>/files/####/43soEdkAl-AdomnJiZWDULyrMMxZ0TJt-Cdzbp0_IrU=.new
- <Package Folder>/files/####/5XOecnTrO8EyGaZldnMknFIezj2KTaMr.new
- <Package Folder>/files/####/5d2a2374-db03-410f-9da4-a5375849a098.pic.temp
- <Package Folder>/files/####/6a84b70a-dc70-4047-8d9c-fc945cca378c.pic
- <Package Folder>/files/####/7a9EADwF3rxaVY-7n4Ykbij7-TFOp06s.new
- <Package Folder>/files/####/92ff9272-5372-4270-9f66-854206e872d9.pic.temp
- <Package Folder>/files/####/CJh_yoRWxRll8Otik4bz8OglHfEoO6a0uNVBYQ==.new
- <Package Folder>/files/####/FHhARgApnksVMEETM5mVjEiS-Wz87LQh.new
- <Package Folder>/files/####/MHwCMoryTFXUDss_.new
- <Package Folder>/files/####/MZqQaOASA7FcdGqQCTj6ww==
- <Package Folder>/files/####/MZqQaOASA7FcdGqQCTj6ww==.new
- <Package Folder>/files/####/NdUB121GxeSe5bUKEWK6Yit11tULhGPCsAQfaYg0Efg=.new
- <Package Folder>/files/####/O0cd6iXUFpizDZDuj6ECps9p08cOZ2218MPUQQ==.new
- <Package Folder>/files/####/ONp7PcRT0Hsl237X54bl1uB4vmQ=.new
- <Package Folder>/files/####/UVTopjH6ETxz71RMo21CKutFJJQLoS2s.new
- <Package Folder>/files/####/Vr5fJZG3JkHbIkjVFohQovbc-Hk=.new
- <Package Folder>/files/####/XQesCTZzviJb-yRMuHj0Wf05pI1jBpsd.new
- <Package Folder>/files/####/_sOQAZCedyMsrXgudmfZkA==
- <Package Folder>/files/####/bPnQgRafDawRxOkw42GFmg==.new
- <Package Folder>/files/####/bxZLyRdWOZjVOYOg_E3j0_Nh2Leooi52.new
- <Package Folder>/files/####/data.dat.tmp
- <Package Folder>/files/####/dqNPxpJCAl-lu4296Kuev5THMVQ=.new
- <Package Folder>/files/####/ed937772-4a43-45bb-9d6d-7e419b6e6017.pic.temp
- <Package Folder>/files/####/f6efb8e2-2291-42f6-b2ed-4ef0e4efddc8.pic.temp
- <Package Folder>/files/####/fd0c429b-c497-4095-9295-4f3db0a5bd11.pic.temp
- <Package Folder>/files/####/hv2mxTknuntYD_WY9a4WvbOSHGU=.new
- <Package Folder>/files/####/jSVDFiCxB63Ig4GXPBCNNKwi0D_bcmtJt-SfwA==.new
- <Package Folder>/files/####/jpPoL-DPds69sRHYZPzjEBPL00s=
- <Package Folder>/files/####/libus.so
- <Package Folder>/files/####/runner_info.prop.new
- <Package Folder>/files/####/sbcnua_f.zip
- <Package Folder>/files/####/tL1do6X9m6CTYF91.zip
- <Package Folder>/files/####/uVL9nCpRK1fwUeic
- <Package Folder>/files/####/vSI1OFTZ3_41_1Hdd8tB_s2WU70=
- <Package Folder>/files/####/yMK5JA80m76ubAeBU78Fqaw9hXvCd_ps
- <Package Folder>/files/####/yMK5JA80m76ubAeBU78Fqaw9hXvCd_ps.new
- <Package Folder>/files/####/yMK5JA80m76ubAeBU78Fqaw9hXvCd_ps.old (deleted)
- <Package Folder>/shared_prefs/pretw.xml
- <Package Folder>/shared_prefs/twj.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/zzconfig.xml
- <SD-Card>/.armsd/####/52f3c0c4-2072-47eb-ac51-7fd8aac62581.res
- <SD-Card>/.armsd/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
- <SD-Card>/.armsd/####/MP8MtaBuguN9jnuSwtN1kQ==
- <SD-Card>/.armsd/####/a90c3163-d35f-49c0-8c0e-4a9e529758c9.res
- <SD-Card>/.armsd/####/d911d532-bc98-4a0a-af08-3f5432522361.res
- <SD-Card>/.armsd/####/r_pkDgN4OhnkSa0D
- <SD-Card>/.env/.uunique.new
- <SD-Card>/.twservice/####/tw
- <SD-Card>/.twservice/qshp_3002_2206.zip
- <SD-Card>/Download/channel_conf
- <SD-Card>/Download/channel_conf1
Другие:
Запускает следующие shell-скрипты:
- /data/data/jtyjxds.btqide.nxzd.jaf/code-356607/Qk_MWoQnaU3vR378 -p jtyjxds.btqide.nxzd.jaf -c com.hoxq.lpve.uwisuq.a.a.c.b -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
- sh <Package Folder>/code-356607/Qk_MWoQnaU3vR378 -p <Package> -c com.hoxq.lpve.uwisuq.a.a.c.b -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
Загружает динамические библиотеки:
- liaoh
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- DES
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
