Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.155.origin
- Android.Triada.178
- Android.Triada.248.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- 1####.####.34:19000
- 1####.####.57:10001
- a####.####.com
- huangda####.com
- i####.####.com
- l####.####.com
Запросы HTTP GET:
- 1####.####.57:10001/v1/order/get?phone=####&imei=####&sdk_version=####&c...
- a####.####.com/ando/i/mon?k=####&d=####
- huangda####.com/active!activeLog.action?provider=####&clickId=####&manu=...
- i####.####.com/ando-res/ads/4/5/d73ab4a4-4c75-43a7-a3c9-5bdabd9437c8/d26...
Запросы HTTP POST:
- 1####.####.34:19000/v2/chis
- l####.####.com/sdk.php
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/EOZTzhVG.jar
- <Package Folder>/cache/####/data_0
- <Package Folder>/cache/####/data_1
- <Package Folder>/cache/####/data_2
- <Package Folder>/cache/####/data_3
- <Package Folder>/cache/####/index
- <Package Folder>/code-626101/mt7ki23yNGw0rwod
- <Package Folder>/databases/####/cc.db
- <Package Folder>/databases/####/cc.db-journal
- <Package Folder>/databases/Sl5_uRfKJfxMcE53iAaubi-9jP7AvKnW_BM1G4oozxV9H1YVK
- <Package Folder>/databases/Sl5_uRfKJfxMcE53iAaubi-9jP7AvKnW_BM1G4oozxV9H1YVK-journal
- <Package Folder>/databases/Sl5_uRfKJfxMcE53iAaubi-9jP7AvKnW_Gqz6vUTvAsQ=-journal
- <Package Folder>/databases/Sl5_uRfKJfxMcE53iAaubi-9jP7AvKnW_YcH6xi5rYDBg4x_bSwP2rA==
- <Package Folder>/databases/Sl5_uRfKJfxMcE53iAaubi-9jP7AvKnW_YcH6xi5rYDBg4x_bSwP2rA==-journal
- <Package Folder>/databases/Sl5_uRfKJfxMcE53iAaubi-9jP7AvKnW_c-6te_cPhJzeARRbnHoKx6P9vIw=
- <Package Folder>/databases/Sl5_uRfKJfxMcE53iAaubi-9jP7AvKnW_c-6te_cPhJzeARRbnHoKx6P9vIw=-journal
- <Package Folder>/databases/Sl5_uRfKJfxMcE53iAaubi-9jP7AvKnW_oasTw2r5zFpnzTNj_iw0vA==
- <Package Folder>/databases/Sl5_uRfKJfxMcE53iAaubi-9jP7AvKnW_oasTw2r5zFpnzTNj_iw0vA==-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/databases/webviewCookiesChromium.db-journal (deleted)
- <Package Folder>/files/####/19105ae8-ae88-4bbd-b739-2d35fca3caad.pic.temp
- <Package Folder>/files/####/1e749287-3482-4477-9db8-3f3dbc2da940.pic.temp
- <Package Folder>/files/####/2HgL7McvigADqkpgqduk7_KTDfbueP1WrRAkZjwldoA=.new
- <Package Folder>/files/####/2e00cb3f-c1da-4de0-941a-4a1f11a229b7.pic.temp
- <Package Folder>/files/####/489c7964-a033-4480-8d04-190abe21006b.pic
- <Package Folder>/files/####/6dedbc1c-b1c7-45f1-adbf-b5941588ab9d.pic.temp
- <Package Folder>/files/####/6k0hFwHQKmt4uy-CcjlFVg==
- <Package Folder>/files/####/6k0hFwHQKmt4uy-CcjlFVg==.new
- <Package Folder>/files/####/7zK8ZrSsxcnB_ot8g54A_7U5ouI=.new
- <Package Folder>/files/####/8avkbsAyx_x44AReGU6wO00si0Z7o23ieistWg==.new
- <Package Folder>/files/####/952deeca-65ab-4081-a24b-0602709e919d.pic.temp
- <Package Folder>/files/####/AAMarzv1fenCGTJtXq4i09sdNtDSdJW9seEQoBCK8ng=.new
- <Package Folder>/files/####/B0akJVzuvLbf75KliLiw_p2GlRg=
- <Package Folder>/files/####/Ege0fFpGqVad0vRiC-K9OQ==
- <Package Folder>/files/####/Ege0fFpGqVad0vRiC-K9OQ==.new
- <Package Folder>/files/####/HGYvz0C5MfLeK4aq.zip
- <Package Folder>/files/####/Ia-pdBW0vk6bfLDPqekZoA==
- <Package Folder>/files/####/L7iArrg0G3WaOfRleaGp3dfJifjmWa5xYusRSDycrGI=.new
- <Package Folder>/files/####/OLQs3MW9d2eSVP6g14_GHNNAfXk=
- <Package Folder>/files/####/RUo7aQMj_JXsG8E5ZgMkPtv6ZbhbVSGGYe0AFw==.new
- <Package Folder>/files/####/T9JU4JiU3L06zXKb_TIRloZDK8U=.new
- <Package Folder>/files/####/UhshndYWU0FLQiAt8eybVStZPrhSggeR
- <Package Folder>/files/####/UhshndYWU0FLQiAt8eybVStZPrhSggeR.new
- <Package Folder>/files/####/UhshndYWU0FLQiAt8eybVStZPrhSggeR.old (deleted)
- <Package Folder>/files/####/WVhXfwIKeNX8iiD9A7_L4jbir1otbog8klI-WpIfrQo=.new
- <Package Folder>/files/####/Y-5pm9ZpooKVFYYrdIzHQqBe0vCA-hp_.new
- <Package Folder>/files/####/_ctnIcRCUhmlzT46iUs9KYTquc3259-1.new
- <Package Folder>/files/####/dF_vbb87UWyB_GaIpHzH3Q==
- <Package Folder>/files/####/dF_vbb87UWyB_GaIpHzH3Q==.new
- <Package Folder>/files/####/dF_vbb87UWyB_GaIpHzH3Q==.old (deleted)
- <Package Folder>/files/####/data.dat.tmp
- <Package Folder>/files/####/dc32e629-bb17-4e9e-bfa7-ec3e713e2730.pic
- <Package Folder>/files/####/ed6bb089-6b24-413b-b6c9-55742a802f81.pic.temp
- <Package Folder>/files/####/egpVzEaRJxrnETh39koG21hX4KkUTQ9OkHN5hA==.new
- <Package Folder>/files/####/hFFWSz4SZgTyMDFqQ5wmBBXfrM8=.new
- <Package Folder>/files/####/kTowoXWVWY4SMrFt.new
- <Package Folder>/files/####/klhIqMVRIFB2oVJq9qksLgTOeUmNt-yt.new
- <Package Folder>/files/####/libus.so
- <Package Folder>/files/####/m9eT9YwgpYRV1mA91UyJcKCvxDuwRhjS.new
- <Package Folder>/files/####/paRjLjpbiNKEG8Dic9svS6kFRaE-VzYf.new
- <Package Folder>/files/####/runner_info.prop.new
- <Package Folder>/files/####/sRLzFYeXhvml9BEXmtACX_zI4ZE=.new
- <Package Folder>/files/####/sbcnua_f.zip
- <Package Folder>/files/####/u-gAafaVw6ht9jDbzr1bUWhWqWyT7kcZ.new
- <Package Folder>/files/####/ul2t195o-rHeei-Z_G2Mj6xN4lNK8gBr.new
- <Package Folder>/files/####/wDAMF7YbPaaWyWTv
- <Package Folder>/shared_prefs/pretw.xml
- <Package Folder>/shared_prefs/twj.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/zzconfig.xml
- <SD-Card>/.armsd/####/3815bb1b-1010-464e-a141-3b89e1b2ab51.res
- <SD-Card>/.armsd/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
- <SD-Card>/.armsd/####/8d4d4629-c8fb-414c-b04f-a3bc51737778.res
- <SD-Card>/.armsd/####/9c223226-9284-47c4-baf7-a5ff36067959.res
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
- <SD-Card>/.armsd/####/MP8MtaBuguN9jnuSwtN1kQ==
- <SD-Card>/.armsd/####/f409e1d1-2a2b-46ea-b374-566d4ad3b983.res
- <SD-Card>/.armsd/####/r_pkDgN4OhnkSa0D
- <SD-Card>/.env/.uunique.new
- <SD-Card>/.twservice/####/tw
- <SD-Card>/.twservice/qshp_3002_2206.zip
- <SD-Card>/Download/channel_conf
- <SD-Card>/Download/channel_conf1
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/code-626101/mt7ki23yNGw0rwod -p <Package> -c com.hoxq.lpve.uwisuq.a.a.c.b -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
- sh <Package Folder>/code-626101/mt7ki23yNGw0rwod -p <Package> -c com.hoxq.lpve.uwisuq.a.a.c.b -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
Загружает динамические библиотеки:
- vctwe
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- DES
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
