Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.247.origin
- Android.Triada.248.origin
Загружает из Интернета следующие детектируемые угрозы:
- Android.RemoteCode.49
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- 1####.####.21
- 1####.####.21:8081
- 1####.####.222
- 1####.####.222:1234
- 6####.####.140
- a####.####.com
- d####.####.com
- i####.####.com
- l####.####.com
- p####.####.com
- p####.####.com:9000
Запросы HTTP GET:
- 6####.####.140/ando/i/mon?k=####&d=####
- a####.####.com/shangwuapk/cx/BBXXL_CX2017_203_20170719155319.apk
- d####.####.com/apk/TSYY_RH_185_170417_V1.0.1.apk
- d####.####.com/gchelp/AD-APK/HZQP/KXTTT/kxttt20170113144.png
- i####.####.com/ando-res/ads/4/5/d73ab4a4-4c75-43a7-a3c9-5bdabd9437c8/d26...
Запросы HTTP POST:
- 1####.####.21/GcMore/methodExe
- 1####.####.21:8081/GcMore/methodExe
- 1####.####.222/GoAPI
- 1####.####.222:1234/GoAPI
- a####.####.com/app_logs
- l####.####.com/sdk.php
- p####.####.com/sdk_pools_pay_version
- p####.####.com:9000/sdk_pools_pay_version
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/code-5528730/64_9KexdpEKGW3AP
- <Package Folder>/databases/0xhmHYjlCmra59ThGfKoVE2osiB6kW65_-vMF9fB7ch3fGdSe
- <Package Folder>/databases/0xhmHYjlCmra59ThGfKoVE2osiB6kW65_-vMF9fB7ch3fGdSe-journal
- <Package Folder>/databases/0xhmHYjlCmra59ThGfKoVE2osiB6kW65_6k6LCCHpxGh4ZGlphwwGWQ==
- <Package Folder>/databases/0xhmHYjlCmra59ThGfKoVE2osiB6kW65_6k6LCCHpxGh4ZGlphwwGWQ==-journal
- <Package Folder>/databases/0xhmHYjlCmra59ThGfKoVE2osiB6kW65_NZj-Dnl2oVk=-journal
- <Package Folder>/databases/0xhmHYjlCmra59ThGfKoVE2osiB6kW65_ac0IXFU3y6Ma-Jc3dd_2tbkr0VE=
- <Package Folder>/databases/0xhmHYjlCmra59ThGfKoVE2osiB6kW65_ac0IXFU3y6Ma-Jc3dd_2tbkr0VE=-journal
- <Package Folder>/databases/0xhmHYjlCmra59ThGfKoVE2osiB6kW65_iSZhTYsAp38a58rC4Bvs5w==
- <Package Folder>/databases/0xhmHYjlCmra59ThGfKoVE2osiB6kW65_iSZhTYsAp38a58rC4Bvs5w==-journal
- <Package Folder>/databases/DB
- <Package Folder>/databases/DB-journal
- <Package Folder>/databases/DownloadDB
- <Package Folder>/databases/DownloadDB-journal
- <Package Folder>/databases/DownloadDB-journal (deleted)
- <Package Folder>/databases/cc.db
- <Package Folder>/databases/cc.db-journal
- <Package Folder>/databases/ua.db
- <Package Folder>/databases/ua.db-journal
- <Package Folder>/files/####/01953d69-bd09-4716-9308-027da08d9b53.pic.temp
- <Package Folder>/files/####/37811816-4076-4397-9ff8-37c5b517609a.pic.temp
- <Package Folder>/files/####/3b5ad9de-9d0b-4d6e-8544-f725648b5934.pic.temp
- <Package Folder>/files/####/537a0943-6e9e-4ee5-83ac-8d8472b58120.pic.temp
- <Package Folder>/files/####/546216bb-d1a5-4125-8987-39549fa99a1a.pic
- <Package Folder>/files/####/5nWyanqD3l-t3PJEbgzaCMqc7_qp6LVN.new
- <Package Folder>/files/####/69GVvrH5jhDfaUg95fPk9Q==
- <Package Folder>/files/####/69GVvrH5jhDfaUg95fPk9Q==.new
- <Package Folder>/files/####/7MRY9X73skycmGZ6btAvoSRjkji-wbyY.new
- <Package Folder>/files/####/80ca5434-e196-47bd-a841-b88a718aa6b4.pic.temp
- <Package Folder>/files/####/9ruUAJmQYOp_UX8Dmq14xKpwVU1cjBBd.new
- <Package Folder>/files/####/9whueOS34LQk4usnDzj6PQ==
- <Package Folder>/files/####/Ak1sOHRu-qXZoXYnF3YbkSG3jxw=.new
- <Package Folder>/files/####/BZSnWeFU9MSBapmAozQKkJ-lGl8=
- <Package Folder>/files/####/Go2pEFTT7S75CAcRAWSF1j5Jio8c3CAl7ijD1nejL2Q=.new
- <Package Folder>/files/####/HLy211KIFV3tM6Pu0ykgCYcFaAZN4IAU.new
- <Package Folder>/files/####/J6weKznCqDCTFJpOIAGwQU8moTph6nLV23Kez4SRbrg=.new
- <Package Folder>/files/####/JaAMTCE50E9ldpUb91XqFeOqJoBadKkEbCEdxA==.new
- <Package Folder>/files/####/LAgfsIxTh0LmjVZWLVEuaUU9Uep9FFKN.new
- <Package Folder>/files/####/LoppKAdh-GkU15La.dex
- <Package Folder>/files/####/LoppKAdh-GkU15La.zip
- <Package Folder>/files/####/MnuxFUfvuTfmzlXl-ahpze-qWrg=.new
- <Package Folder>/files/####/Ow0pPqwInzlGYiT3X-CR_Rj81UQ=
- <Package Folder>/files/####/UIuhd1_W2b7CkXVl6QZ_f2i2nYjIk0DEnUee8_mgBcM=.new
- <Package Folder>/files/####/Ul-k7JPXPsjhiuhane7YUA==.new
- <Package Folder>/files/####/_2Td6iBTxzylS3SEWKu6Rext8Nrc8qNGOC3jUg==.new
- <Package Folder>/files/####/_wOHx4yoWhxwUabcx3zooynHN0vkQp2m.new
- <Package Folder>/files/####/a56b1f02-764f-4bf5-b6de-d3680cf458a8.pic.temp
- <Package Folder>/files/####/a7d92f8b-7f46-4caf-ae59-64ebf9a85567.pic
- <Package Folder>/files/####/ahJ3l_bNQVfuiZ4xCfljC1-0mE9I5OgD.new
- <Package Folder>/files/####/dbaf39ef-409a-4f2b-9cfa-480ceded3fa0.pic.temp
- <Package Folder>/files/####/exchangeIdentity.json
- <Package Folder>/files/####/fc23eae7-1692-44fc-b8ca-ec72a03ebd5b.pic.temp
- <Package Folder>/files/####/fc90381b-226f-47e0-97e5-1892edfbf26c.pic.temp
- <Package Folder>/files/####/gEZcndrALkFKempLRBIqENAa-uc=.new
- <Package Folder>/files/####/gY86rIWFI8c-bJ3S.new
- <Package Folder>/files/####/hl3l1JotSKhXPdimWUiWVrut72If92Y4tZe33MI6N2Q=.new
- <Package Folder>/files/####/i_OlqqWCBJTbhKZd9efoB4vvjOGEBy7G
- <Package Folder>/files/####/i_OlqqWCBJTbhKZd9efoB4vvjOGEBy7G.new
- <Package Folder>/files/####/i_OlqqWCBJTbhKZd9efoB4vvjOGEBy7G.old (deleted)
- <Package Folder>/files/####/ifhfSp4RmAzlBhrHTxH2XQ==
- <Package Folder>/files/####/ifhfSp4RmAzlBhrHTxH2XQ==.new
- <Package Folder>/files/####/jDSvhFzSGsXs6QLd
- <Package Folder>/files/####/jt0lqESqPasUB8efUJcDm1RxMZM=
- <Package Folder>/files/####/jt0lqESqPasUB8efUJcDm1RxMZM=.new
- <Package Folder>/files/####/mq91AEPmIYOU_yvVjLVqocJNNY_RksDaXKMKng==.new
- <Package Folder>/files/####/qunduw_f.dex
- <Package Folder>/files/####/qunduw_f.zip
- <Package Folder>/files/####/runner_info.prop.new
- <Package Folder>/files/####/z7dnv9UoK36ZjEMfzZUTlA==
- <Package Folder>/files/.imprint
- <Package Folder>/files/exid.dat
- <Package Folder>/files/rdata_comzjowgnoec
- <Package Folder>/files/rdata_comzjowgnoec.new
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/shared_prefs/CYCLE_PAY_PREF_NAME.xml
- <Package Folder>/shared_prefs/CYCLE_UNIQUE_ID.xml
- <Package Folder>/shared_prefs/Spf.xml
- <Package Folder>/shared_prefs/Spf.xml.bak
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml.bak
- <Package Folder>/shared_prefs/umeng_general_config.xml.bak (deleted)
- <SD-Card>/.armsd/####/400351f2-ce77-442e-9091-7aa19c5ada6f.res
- <SD-Card>/.armsd/####/444b26e6-41d8-48de-9bc5-3c5dc68f0734.res
- <SD-Card>/.armsd/####/4e69ede0-b18a-435a-aaaa-ef349a9fc848.res
- <SD-Card>/.armsd/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
- <SD-Card>/.armsd/####/MP8MtaBuguN9jnuSwtN1kQ==
- <SD-Card>/.armsd/####/b1c63725-3c4f-4400-b4e6-b0a672ba0c7d.res
- <SD-Card>/.armsd/####/e7717147-161f-4568-b01c-0d26220e7421.res
- <SD-Card>/.armsd/####/eb13e45a-3e9c-4498-9504-0bda3a1b08fb.res
- <SD-Card>/.armsd/####/f9eeb609-59b1-4ade-9c71-38c5af7cba5b.res
- <SD-Card>/.armsd/####/r_pkDgN4OhnkSa0D
- <SD-Card>/.env/.uunique.new
- <SD-Card>/360/####/144-2.png
- <SD-Card>/360/####/BBXXL_CX2017_203_20170719155319.apk
- <SD-Card>/360/####/TCSDZZ_CX2017_203_20170719155232.apk
- <SD-Card>/360/####/TSYY_RH_185_170417_V1.0.1.apk
- <SD-Card>/360/####/flzb20170105144.png
- <SD-Card>/360/####/kxttt20170113144.png
- <SD-Card>/Android/####/com.lyhtgh.pay.ltplugin.apk
- <SD-Card>/lang_cyclesdk/cyclesdk.apk
Другие:
Запускает следующие shell-скрипты:
- /data/data/com.snowbros.gameres.zy/code-5528730/64_9KexdpEKGW3AP -p com.snowbros.gameres.zy -c com.zjow.gnoec.wlzcug.hi.hi.pw.c -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
- sh <Package Folder>/code-5528730/64_9KexdpEKGW3AP -p <Package> -c com.zjow.gnoec.wlzcug.hi.hi.pw.c -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
Загружает динамические библиотеки:
- cocos2dcpp
- dizhi
Использует следующие алгоритмы для шифрования данных:
- AES
- AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS7Padding
- DES-CBC-PKCS5Padding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
