Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Xiny.164.origin
- Android.Xiny.202.origin
- Android.Xiny.72.origin
Предлагает установить сторонние приложения.
Скрывает свою иконку с экрана устройства.
Сетевая активность:
Подключается к:
- 4####.####.123
- 4####.####.160
- 4####.####.161
- 4####.####.241
- 4####.####.48
- 4####.####.75
- a####.####.com
- busi####.####.com
- co####.####.com
- d####.####.com
- g####.####.net
- koapk####.com
- koapk####.com:8081
- n####.####.com
- okyes####.com
- okyes####.com:8081
- p####.####.com
- pl####.####.com
- r####.####.com
- s####.####.cn
- s####.####.com
- u####.####.com
Запросы HTTP GET:
- 4####.####.123/admin201506/uploadApkFile/20170719/504185804.apk
- 4####.####.160/admin201506/uploadApkFile/rt/20170617/N2026.data
- 4####.####.161/admin201506/uploadApkFile/rt/20161119/dz_wk32.zip
- 4####.####.241/admin201506/uploadApkFile/rt/20170617/N2023.data
- 4####.####.48/admin201506/uploadApkFile/rt/20170617/N2050.data
- 4####.####.75/admin201506/uploadApkFile/rt/20170617/N2040.data
- a####.####.com/strategy/api/v1/rule/get?p=####&hp=####&l=####&c=####&pro...
- co####.####.com/adunion/slot/getDlAd?h=####&w=####&model=####&vendor=###...
- d####.####.com/M00/01/AC/CvJJDVloLSCAV4GUAAYnO4arg5g199.zip
- g####.####.net/prod/upload/adunion/images/3a0/80_80_be1382a6a15a99cc.png
- n####.####.com/get?model=####&signmd5=####&op=####&vendor=####&locale=##...
- s####.####.cn/apks/icon/icon_02.png
- u####.####.com/setting/grobal_strategy?p=####&hp=####&l=####&c=####&prod...
Запросы HTTP POST:
- a####.####.com/detail/getOfferListNew?enc=####
- busi####.####.com/business/request
- koapk####.com/sm/sr/run/hy
- koapk####.com:8081/sm/sr/rt/ry
- okyes####.com/sdk/nsd.action?b=####&ci=####&ct=####&re=####&sd=####
- okyes####.com:8081/sdk/nsd.action?b=####
- p####.####.com/api/data?token=####&tk=####&sv=####
- pl####.####.com/ad_dex.php
- r####.####.com/orts/rpb?h=####&w=####&model=####&vendor=####&sdk=####&dp...
- s####.####.com/cgi-bin-py/ad_sdk.cgi?ty=####&enc=####&bt=####
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/databases/bdownloaders.db-journal
- <Package Folder>/databases/swith1014.db-journal
- <Package Folder>/files/201708052050.apk
- <Package Folder>/files/c201708052050.apk
- <Package Folder>/shared_prefs/20160121.xml
- <Package Folder>/shared_prefs/20160121.xml.bak
- <Package Folder>/shared_prefs/20160121.xml.bak (deleted)
- <Package Folder>/shared_prefs/Q2hhbm5lbElES2V5MjAxNjEyMjcxODU3.xml
- <Package Folder>/shared_prefs/ae.xml
- <SD-Card>/APPMarket/####/122190031.png.tmp
- <SD-Card>/test1501849343596
Другие:
Запускает следующие shell-скрипты:
- .kugua
- .kugua -c id
- /system/bin/cat /proc/meminfo
- /system/bin/cat /sys/block/mmcblk0/device/cid
- /system/bin/cat /sys/block/mmcblk1/device/cid
- /system/bin/cat /sys/block/mmcblk2/device/cid
- /system/bin/cat /sys/block/mmcblk3/device/cid
- app_process /system/bin com.android.commands.pm.Pm path com.dianxinos.dxbs
- c201708052050.apk -p <Package> -c <Package>:a
- chmod 0755 <Package Folder>/com.init.env
- chmod 0777 <Package Folder>/com.init.env/files/elfm
- chmod 0777 <Package Folder>/com.init.env/files/forever.sh
- chmod 0777 <Package Folder>/com.init.env/files/toolbox
- chmod 0777 <Package Folder>/p.sr40/files/cnVuc2hlbGwy
- chmod 0777 <Package Folder>/p.sr40/files/forever.sh
- chmod 0777 <Package Folder>/p.ym43/files/Wlhod1gzbDFiVjh5
- chmod 0777 <Package Folder>/p.ym43/files/forever.sh
- chmod 6777 <Package Folder>/files/c201708052050.apk
- logcat -d -v time
- ls -l /system/bin/su
- ps
- rc_qgza_hd
- rc_qgza_hd -c id
- sh
Загружает динамические библиотеки:
- libjni-aaa
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Осуществляет доступ к информации о зарегистрированных на устройстве аккаунтах (Google, Facebook и тд.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Осуществляет доступ к информации об отправленых/принятых смс.
