Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.155.origin
- Android.Triada.178
- Android.Triada.248.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- 1####.####.34:19000
- 1####.####.57:10001
- a####.####.com
- huangda####.com
- i####.####.com
- l####.####.com
Запросы HTTP GET:
- 1####.####.57:10001/v1/order/get?phone=####&imei=####&sdk_version=####&c...
- a####.####.com/ando/i/mon?k=####&d=####
- huangda####.com/active!activeLog.action?provider=####&clickId=####&manu=...
- i####.####.com/ando-res/ads/0/9/837ec120-ccf8-4ad0-b6fd-1303ff645eca/773...
Запросы HTTP POST:
- 1####.####.34:19000/v2/chis
- l####.####.com/sdk.php
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/EOZTzhVG.jar
- <Package Folder>/cache/####/data_0
- <Package Folder>/cache/####/data_1
- <Package Folder>/cache/####/data_2
- <Package Folder>/cache/####/data_3
- <Package Folder>/cache/####/index
- <Package Folder>/code-9833473/ja5rN4-42b-ZzOFf
- <Package Folder>/databases/####/cc.db
- <Package Folder>/databases/####/cc.db-journal
- <Package Folder>/databases/hEb1IS5Ih-ButzyPi5QWMkmLqEuEjypg_1-Xlq24vMdhbHuDWmhuL1w==
- <Package Folder>/databases/hEb1IS5Ih-ButzyPi5QWMkmLqEuEjypg_1-Xlq24vMdhbHuDWmhuL1w==-journal
- <Package Folder>/databases/hEb1IS5Ih-ButzyPi5QWMkmLqEuEjypg_6F0uerylOOA=-journal
- <Package Folder>/databases/hEb1IS5Ih-ButzyPi5QWMkmLqEuEjypg_mrpfvnFc0u9UliUFn6J0Fw==
- <Package Folder>/databases/hEb1IS5Ih-ButzyPi5QWMkmLqEuEjypg_mrpfvnFc0u9UliUFn6J0Fw==-journal
- <Package Folder>/databases/hEb1IS5Ih-ButzyPi5QWMkmLqEuEjypg_oPxc0-Omu1QuXNY4
- <Package Folder>/databases/hEb1IS5Ih-ButzyPi5QWMkmLqEuEjypg_oPxc0-Omu1QuXNY4-journal
- <Package Folder>/databases/hEb1IS5Ih-ButzyPi5QWMkmLqEuEjypg_vT2te3oPT722NqSWoqnMPOtqifA=
- <Package Folder>/databases/hEb1IS5Ih-ButzyPi5QWMkmLqEuEjypg_vT2te3oPT722NqSWoqnMPOtqifA=-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/databases/webviewCookiesChromium.db-journal
- <Package Folder>/databases/webviewCookiesChromium.db-journal (deleted)
- <Package Folder>/files/####/04b7acc1-ffef-4a76-aebd-2c6bfcb5a893.pic
- <Package Folder>/files/####/2tvJchvDwvejlsBZdLnRvNSusiskJVVIQ6yBV9peEJs=.new
- <Package Folder>/files/####/3yGlUGyLqzf9iuAtM62CZLUfOSs=
- <Package Folder>/files/####/7633d6ba-e3a7-4fc6-89ad-5415fb8b749f.pic.temp
- <Package Folder>/files/####/8OnDtFCIcWRpdoHIJi592EG9sNY=.new
- <Package Folder>/files/####/9276ea27-a9d0-440f-aefc-916073cdbb4a.pic
- <Package Folder>/files/####/94e80521-7346-4c81-b488-bfcf53da35b5.pic.temp
- <Package Folder>/files/####/D9vOAHQrBUFuql83CGj80bluRec=.new
- <Package Folder>/files/####/IT5CZItYydL7PFB-3iuEK6zkyo06B1G2
- <Package Folder>/files/####/IT5CZItYydL7PFB-3iuEK6zkyo06B1G2.new
- <Package Folder>/files/####/KSadoi3FnJRsCwQ-.zip
- <Package Folder>/files/####/PZLWhRwVZb8rQdaQzjDPbdKbjFr_ysN5.new
- <Package Folder>/files/####/QLHX1HdhQbwVZ-k1.new
- <Package Folder>/files/####/TJ8We_XNeuHAwyF9TdwpEioNm_o=.new
- <Package Folder>/files/####/UEd2eThYldOPrjHesvmhh0IjlCbr5QKe.new
- <Package Folder>/files/####/WFYPd-AchzEbQsLg
- <Package Folder>/files/####/_xnUbKmS_77rqa0QpQhZMQN4gajC5QtzmoPfXErNubY=.new
- <Package Folder>/files/####/amFiwXhjfNfefDtX57JF0Q==
- <Package Folder>/files/####/amFiwXhjfNfefDtX57JF0Q==.new
- <Package Folder>/files/####/avwe7Gs22U89S3kVNodTQblByiM=
- <Package Folder>/files/####/b33c06c6-0338-40d8-bd22-112283138500.pic.temp
- <Package Folder>/files/####/b9b90116-614b-46e7-8a8a-957e0b01843b.pic.temp
- <Package Folder>/files/####/bLKGEgVH8LDeCeeCLZN_0ytNhUKMBnMmpSnyxecWDMQ=.new
- <Package Folder>/files/####/c82f119d-b546-42d4-9e30-733c02f0deab.pic.temp
- <Package Folder>/files/####/data.dat.tmp
- <Package Folder>/files/####/ddc05112-747b-4b62-831b-f37eed94c820.pic.temp
- <Package Folder>/files/####/dm-jLAiuIwL03HMkQuLheRyX9GwVSM4R.new
- <Package Folder>/files/####/eCZi_XDOWjgSbBhneayrJbM4MqpPvCw_QD2aLg==.new
- <Package Folder>/files/####/hq_A60rEIkhwV7IlZCJPRnlYq7z-MbaBC_9vmQ==.new
- <Package Folder>/files/####/inB5LKOp5ml3bYxAeXRFhBKa4mOlgB5I6aqkug==.new
- <Package Folder>/files/####/jcOcJbQGQKQfmzDceC7KNzKd3fOmiaju.new
- <Package Folder>/files/####/libus.so
- <Package Folder>/files/####/mN7f5xLaHq0xwP2uUaMJ7Q==
- <Package Folder>/files/####/mN7f5xLaHq0xwP2uUaMJ7Q==.new
- <Package Folder>/files/####/obJvom4wvqd3d0WDpH5CA51OCPw=.new
- <Package Folder>/files/####/qUVFEf55GFhGfgG1_t8nvLAStuqnP16o.new
- <Package Folder>/files/####/qd_tDEnajFDYUzU335nRnw==.new
- <Package Folder>/files/####/rZnryr_AetQEhb0LBgme9DWDqQuT0lGW.new
- <Package Folder>/files/####/runner_info.prop.new
- <Package Folder>/files/####/sbcnua_f.zip
- <Package Folder>/files/####/srDliRO4B0-6qqKwz5Zj2g==
- <Package Folder>/files/####/tu69tK6b46nXYufaOuKF2qFgZY6PV4z1.new
- <Package Folder>/files/####/zXczumjbEVQa1Rr0YJ4juocT-CNQer9XEp1YIqZsC0I=.new
- <Package Folder>/shared_prefs/pretw.xml
- <Package Folder>/shared_prefs/twj.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/zzconfig.xml
- <SD-Card>/.armsd/####/4637d862-f352-48c7-8570-eed09d2a3739.res
- <SD-Card>/.armsd/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
- <SD-Card>/.armsd/####/69504312-6f78-474d-9791-bb6d34c684f3.res
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
- <SD-Card>/.armsd/####/MP8MtaBuguN9jnuSwtN1kQ==
- <SD-Card>/.armsd/####/adea207f-c7db-41c4-8f83-804469371972.res
- <SD-Card>/.armsd/####/r_pkDgN4OhnkSa0D
- <SD-Card>/.env/.uunique.new
- <SD-Card>/.twservice/####/tw
- <SD-Card>/.twservice/qshp_3002_2206.zip
- <SD-Card>/Download/channel_conf
- <SD-Card>/Download/channel_conf1
Другие:
Запускает следующие shell-скрипты:
- /data/data/veojbak.kvnbv.tadpal.qdtngdyw/code-9833473/ja5rN4-42b-ZzOFf -p veojbak.kvnbv.tadpal.qdtngdyw -c com.hoxq.lpve.uwisuq.a.a.c.b -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
- sh <Package Folder>/code-9833473/ja5rN4-42b-ZzOFf -p <Package> -c com.hoxq.lpve.uwisuq.a.a.c.b -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
Загружает динамические библиотеки:
- itudk
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- DES
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
