Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.247.origin
- Android.Triada.248.origin
Скрывает свою иконку с экрана устройства.
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- 6####.####.140
- i####.####.com
- l####.####.com
- m####.####.com
- m####.####.com:81
- tr####.####.com
- z####.####.com
Запросы HTTP GET:
- i####.####.com/ando-res/ads/black/640x270.png
- z####.####.com/apk/20170602/182734/20170602182734.apk
Запросы HTTP POST:
- 6####.####.140/ando/v1/x/qa?app_id=####&r=####
- l####.####.com/sdk.php
- m####.####.com/hladserver/api/3
- m####.####.com:81/hladserver/api/1
- tr####.####.com/update.xxdd
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/app_baidu/xpodg
- <Package Folder>/code-6616327/z40UnpNeRS317NRC
- <Package Folder>/databases/4e8a73a9d95daa8a0420b00d13fbcdb5.db-journal
- <Package Folder>/databases/fWBJmCK8phTnHFbQmkRLpZDkZPNnSsNp_7Qz7wVVELKn621tynY6eFw==
- <Package Folder>/databases/fWBJmCK8phTnHFbQmkRLpZDkZPNnSsNp_7Qz7wVVELKn621tynY6eFw==-journal
- <Package Folder>/databases/fWBJmCK8phTnHFbQmkRLpZDkZPNnSsNp_Fxx1DBBybL2iq44g
- <Package Folder>/databases/fWBJmCK8phTnHFbQmkRLpZDkZPNnSsNp_Fxx1DBBybL2iq44g-journal
- <Package Folder>/databases/fWBJmCK8phTnHFbQmkRLpZDkZPNnSsNp_GMbl2qtkJ2o=-journal
- <Package Folder>/databases/fWBJmCK8phTnHFbQmkRLpZDkZPNnSsNp_inQP8MTnn3J7xvwdpWcWuL-DstI=
- <Package Folder>/databases/fWBJmCK8phTnHFbQmkRLpZDkZPNnSsNp_inQP8MTnn3J7xvwdpWcWuL-DstI=-journal
- <Package Folder>/databases/fWBJmCK8phTnHFbQmkRLpZDkZPNnSsNp_ntrV9Ao9uUQmqpQxkj3SEg==
- <Package Folder>/databases/fWBJmCK8phTnHFbQmkRLpZDkZPNnSsNp_ntrV9Ao9uUQmqpQxkj3SEg==-journal
- <Package Folder>/databases/vastpaydb
- <Package Folder>/databases/vastpaydb-journal
- <Package Folder>/files/####/0ZubdZy5opLFMG2RaPIdfpzDugA=
- <Package Folder>/files/####/0d5aa569-01df-486e-b5ac-35c2bff0c8d4.pic.temp
- <Package Folder>/files/####/2782bf3c-775f-4d28-a83e-d5994d283c33.pic
- <Package Folder>/files/####/2p23ajWLXfl_n4Tn2WwSBlcTAoT65qzI
- <Package Folder>/files/####/2p23ajWLXfl_n4Tn2WwSBlcTAoT65qzI.new
- <Package Folder>/files/####/2p23ajWLXfl_n4Tn2WwSBlcTAoT65qzI.old (deleted)
- <Package Folder>/files/####/6ffcd7dc-88c4-4ec7-a3ab-b1baa3ae9b0c.pic.temp
- <Package Folder>/files/####/76670936-5535-4b64-a0bc-761566dae638.pic
- <Package Folder>/files/####/7Tbx1V8g6DlStwhFDin_yl_6u-DdtcZv.new
- <Package Folder>/files/####/82f3jfWm0ux8QZ66G1400A==
- <Package Folder>/files/####/82f3jfWm0ux8QZ66G1400A==.new
- <Package Folder>/files/####/8594WLA2L2F7mDb_NMxNPudZcMeb8qc1.new
- <Package Folder>/files/####/8Jtgssa2gy_Zgb9HMetvjA==.new
- <Package Folder>/files/####/8nCHVKR0ePOpkHLucrL1Iov7xAo=.new
- <Package Folder>/files/####/9oV5dDFqGEjd9HhKTA7SgQMQM_Y=.new
- <Package Folder>/files/####/DpIzkNxhK-BKx5dV
- <Package Folder>/files/####/G3hufhVy-KmfMz3A4myuKaPhvMuAnB4V.new
- <Package Folder>/files/####/I7LoXVZX4bKGtR62vF9UTVZN8ds6LUjem2FqIg==.new
- <Package Folder>/files/####/JsdaF3x2j_qBn9aenkYaTUk1dZePFvK9.new
- <Package Folder>/files/####/WdpcRp7WrnXTioCrE2Huh8Q4mBIJA7so.new
- <Package Folder>/files/####/XfeXblU0JnFXacSR1CQxKDZcMaKdgBfV7kI5TbIN4y4=.new
- <Package Folder>/files/####/_h_p8aqx8ypP7s11RLNniRpAlfi0tffL.new
- <Package Folder>/files/####/aAG1NiY-gF-dTMVItUIdxhVhK_nSxq9lKcirizoecSw=.new
- <Package Folder>/files/####/aoagkhvmmF9p6nEkh75-1ePYlg1HiQMcQL40xJNqog0=.new
- <Package Folder>/files/####/b7hR-rL_nnRRgUxn.zip
- <Package Folder>/files/####/c70638e2-580c-424c-9dce-68f104781c30.pic.temp
- <Package Folder>/files/####/e1E2cLPAfZUo7ddNE3kC2A==.new
- <Package Folder>/files/####/f620ed6d-7e77-40ff-ad59-f487decd691d.pic.temp
- <Package Folder>/files/####/h2jh7FwFtXGUzfPF7hgVHQ==
- <Package Folder>/files/####/hujcva_f.zip
- <Package Folder>/files/####/hxTaApKPYYxhNh2XGD8GXvnAFiE=
- <Package Folder>/files/####/iMHISaRPmtBa0q6ZlI-GnTpb_YMZzZC9m7TY1Uu2Y7U=.new
- <Package Folder>/files/####/nGZcyoWC3SdfZKhQbJY5G3SrN80=.new
- <Package Folder>/files/####/prgmEmcMyaaDerrZOPlDq1hUrRQorCr81xMBDA==.new
- <Package Folder>/files/####/qImrdlHkObpUkOUJWr3zaw==
- <Package Folder>/files/####/runner_info.prop.new
- <Package Folder>/files/####/uHtjNkiriMOPs9LjXPqf1O_WxK7dMTjw.new
- <Package Folder>/files/####/vooccEBQsYug5ohR.new
- <Package Folder>/files/####/wIkwvXDXtxAoKsRshliivcbXZNk=.new
- <Package Folder>/files/####/xkJSByahMU0kVBw4kc0WeCKAaIByA8EWFDN6rQ==.new
- <Package Folder>/files/####/zhsysgdi.jar
- <Package Folder>/files/rdata_comwkdzjdna.new
- <Package Folder>/shared_prefs/hlcsdpf.xml
- <Package Folder>/shared_prefs/hlcsdpf.xml.bak
- <Package Folder>/shared_prefs/hlcsdpf.xml.bak (deleted)
- <Package Folder>/shared_prefs/resc_b.xml
- <Package Folder>/shared_prefs/resc_c.xml
- <Package Folder>/shared_prefs/resc_d.xml
- <Package Folder>/shared_prefs/resc_i.xml
- <Package Folder>/shared_prefs/resc_i.xml.bak
- <Package Folder>/shared_prefs/resc_i.xml.bak (deleted)
- <SD-Card>/.android/51e67b93ded9b0925aecdc0e997688a4.apk.tmp
- <SD-Card>/.android/9c1afb12baebab3669032b62e5e28738.apk.tmp
- <SD-Card>/.android/close.png
- <SD-Card>/.android/dev.txt
- <SD-Card>/.android/fatpot.png
- <SD-Card>/.android/thinpot.png
- <SD-Card>/.armsd/####/44eb70bb-0953-41c6-9ab7-4b6112511d73.res
- <SD-Card>/.armsd/####/4812520f-813a-4728-893c-6086621d5197.res
- <SD-Card>/.armsd/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
- <SD-Card>/.armsd/####/72c2afe0-1e3c-4f55-b9e1-3a8bc2e3508e.res
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
- <SD-Card>/.armsd/####/MP8MtaBuguN9jnuSwtN1kQ==
- <SD-Card>/.armsd/####/e5185e4c-e38f-4f44-bb66-f16b8691ae37.res
- <SD-Card>/.armsd/####/r_pkDgN4OhnkSa0D
- <SD-Card>/.env/.uunique.new
- <SD-Card>/.mkcong
- <SD-Card>/938e0e1f4d9fe731d0878107aca10404.jar
- <SD-Card>/Android/####/.nomedia
- <SD-Card>/Android/####/938e0e1f4d9fe731d0878107aca10404.jar
- <SD-Card>/Android/####/a
- <SD-Card>/Android/####/c
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- <Package Folder>/app_baidu/xpodg -p <Package> -r am start --user 0 -n <Package>/utqo.rmmz.uwpa.yykq.hoku -a utqo.rmmz.uwpa.yykq.hoku -i 2089
- <Package Folder>/app_baidu/xpodg -p <Package> -r am start --user 0 -n <Package>/utqo.rmmz.uwpa.yykq.hoku -a utqo.rmmz.uwpa.yykq.hoku -i 2127
- <Package Folder>/code-6616327/z40UnpNeRS317NRC -p <Package> -c com.wkdz.jdna.blddvq.hi.hi.pw.c -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
- chmod 777 <Package Folder>/app_baidu/xpodg
- getprop ro.bootloader
- getprop ro.build.fingerprint
- getprop ro.build.product
- getprop ro.hardware
- getprop ro.kernel.qemu
- getprop ro.product.brand
- getprop ro.product.device
- getprop ro.product.manufacturer
- getprop ro.product.model
- getprop ro.secure
- sh
- sh <Package Folder>/app_baidu/xpodg -p <Package> -r am start --user 0 -n <Package>/utqo.rmmz.uwpa.yykq.hoku -a utqo.rmmz.uwpa.yykq.hoku -i 2089
- sh <Package Folder>/app_baidu/xpodg -p <Package> -r am start --user 0 -n <Package>/utqo.rmmz.uwpa.yykq.hoku -a utqo.rmmz.uwpa.yykq.hoku -i 2127
- sh <Package Folder>/code-6616327/z40UnpNeRS317NRC -p <Package> -c com.wkdz.jdna.blddvq.hi.hi.pw.c -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
Использует следующие алгоритмы для шифрования данных:
- DES
Использует следующие алгоритмы для расшифровки данных:
- AES-CFB-NoPadding
- DES-CBC-PKCS5Padding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Осуществляет доступ к информации о входящих/исходящих звонках.
