Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.308.origin
Предлагает установить сторонние приложения.
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- 1####.####.204
- 1####.####.204:88
- a####.####.com
- i####.####.cn
- m####.####.com
- m####.####.com:81
- n####.####.com:10091
- p4####.####.com
- tr####.####.com
- u####.####.cn
- z####.####.com
Запросы HTTP GET:
- i####.####.cn/iplookup/iplookup.php?format=####
- p4####.####.com/web/ng/201706/321/c/icon.png
- u####.####.cn/t?a=####
- z####.####.com/img/20151208/193240/closeimg_20151208193240.png
Запросы HTTP POST:
- 1####.####.204/game/centerbanner2.do?ver=####
- 1####.####.204:88/game/open.do
- a####.####.com/app_logs
- m####.####.com/hladserver/api/4
- m####.####.com:81/hladserver/api/1
- n####.####.com:10091/opaService/link
- tr####.####.com/update.xxdd
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/com.qq.reader-1.apk.classes-1378426873.zip
- <Package Folder>/.shell_ass/####/libopalink.so_32
- <Package Folder>/.shell_ass/####/libopalink.so_64
- <Package Folder>/.shell_ass/libopalink.so
- <Package Folder>/.shell_ass/opa_link.jar
- <Package Folder>/.shell_ass/stupid
- <Package Folder>/.shell_ass/stupid.zip
- <Package Folder>/app_baidu/xpodg
- <Package Folder>/cache/7be619d4fda5ead4318eaae639e5a636.jar
- <Package Folder>/databases/aff3e8567af72de1bcf1e6ccb065c0fb.db-journal
- <Package Folder>/databases/download.db
- <Package Folder>/databases/download.db-journal
- <Package Folder>/databases/twsdk.db-journal
- <Package Folder>/databases/vastpaydb
- <Package Folder>/databases/vastpaydb-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/####/exchangeIdentity.json
- <Package Folder>/files/####/zhsysgdi.jar
- <Package Folder>/files/.imprint
- <Package Folder>/files/rgji.png
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/shared_prefs/cuf_config.xml
- <Package Folder>/shared_prefs/d6819.xml
- <Package Folder>/shared_prefs/hlcsdpf.xml
- <Package Folder>/shared_prefs/hlcsdpf.xml.bak
- <Package Folder>/shared_prefs/resc_b.xml
- <Package Folder>/shared_prefs/resc_b.xml.bak
- <Package Folder>/shared_prefs/resc_c.xml
- <Package Folder>/shared_prefs/resc_d.xml
- <Package Folder>/shared_prefs/resc_i.xml
- <Package Folder>/shared_prefs/resc_i.xml.bak
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml.bak
- <Package Folder>/shared_prefs/userData.xml
- <Package Folder>/shared_prefs/userData.xml.bak
- <SD-Card>/.android/51e67b93ded9b0925aecdc0e997688a4.apk.tmp
- <SD-Card>/.android/9c1afb12baebab3669032b62e5e28738.apk.tmp
- <SD-Card>/.android/close.png
- <SD-Card>/.android/dev.txt
- <SD-Card>/.android/fatpot.png
- <SD-Card>/.android/thinpot.png
- <SD-Card>/.mkcong
- <SD-Card>/187deaad0fff5e98719d0df7ee65c325.jar
- <SD-Card>/Android/####/.nomedia
- <SD-Card>/Android/####/a
- <SD-Card>/Android/####/c
- <SD-Card>/ImgCach/1041595cb938fbe9dc3cc3eff647ae2e.cach
- <SD-Card>/ImgCach/30b268ffdec1efa2f9f8d1a84275bd62.cach
- <SD-Card>/ImgCach/50fe69d50d15b70be2ff3c83ec176635.cach
- <SD-Card>/ImgCach/56cccd707c305ac06aeb0396bc4e3b1e.cach
- <SD-Card>/ImgCach/64f683b3d456f7b058d1f50241bde0df.cach
- <SD-Card>/ImgCach/69988bab8ff69a136cdbfac0efd57b5e.cach
- <SD-Card>/ImgCach/7a67a91fb4ce7dcbac41522eedf8abc8.cach
- <SD-Card>/ImgCach/82d58eb66a615f61247c33f5426ebb8f.cach
- <SD-Card>/ImgCach/a9dd2131412631f6fb493ba65c3c371f.cach
- <SD-Card>/ImgCach/b42abe178a51e465a36800396c992cf6.cach
- <SD-Card>/tmp/####/1b7af06ccf0b71ad81c22e837ea75c7c.sds
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /proc/cpuinfo
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- <Package Folder>/app_baidu/xpodg -p <Package> -r am start --user 0 -n <Package>/ctrm.ghnq.udse.felc -a ctrm.ghnq.udse.felc -i 2116
- <Package Folder>/app_baidu/xpodg -p <Package> -r am start --user 0 -n <Package>/ctrm.ghnq.udse.felc -a ctrm.ghnq.udse.felc -i 2135
- cat /proc/cpuinfo
- cat /proc/version
- cat /sys/class/net/wlan0/address
- chmod 777 /storage/emulated/0/tmp/<Package>/1b7af06ccf0b71ad81c22e837ea75c7c.sds
- chmod 777 <Package Folder>/app_baidu/xpodg
- getprop
- getprop ro.board.platform
- getprop ro.bootloader
- getprop ro.build.fingerprint
- getprop ro.build.product
- getprop ro.hardware
- getprop ro.kernel.qemu
- getprop ro.product.brand
- getprop ro.product.cpu.abi
- getprop ro.product.device
- getprop ro.product.manufacturer
- getprop ro.product.model
- getprop ro.secure
- ps -P
- sh
- sh <Package Folder>/app_baidu/xpodg -p <Package> -r am start --user 0 -n <Package>/ctrm.ghnq.udse.felc -a ctrm.ghnq.udse.felc -i 2116
- sh <Package Folder>/app_baidu/xpodg -p <Package> -r am start --user 0 -n <Package>/ctrm.ghnq.udse.felc -a ctrm.ghnq.udse.felc -i 2135
Загружает динамические библиотеки:
- libopalink
Использует следующие алгоритмы для шифрования данных:
- DES
Использует следующие алгоритмы для расшифровки данных:
- AES-CFB-NoPadding
- DES
- DES-CBC-PKCS5Padding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Осуществляет доступ к информации о входящих/исходящих звонках.
