Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.247.origin
- Android.Triada.248.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- 1####.####.76
- 1####.####.76:8088
- 6####.####.140
- a####.####.com
- i####.####.com
- l####.####.com
- mvvi####.####.com
- res####.####.com
Запросы HTTP GET:
- 1####.####.76/sdkserver/adData/adInfo/sdk/1499419093286.jar
- 6####.####.140/ando/i/mon?k=####&d=####
- i####.####.com/ando-res/ads/30/14/f15541de-b7bd-4ff9-97fb-9e6cc9e4e044/0...
- mvvi####.####.com/58cd533e95443531.mp4
- res####.####.com/v3/ip?key=####
Запросы HTTP POST:
- 1####.####.76:8088/sdkserver/v2/addSdk
- a####.####.com/app_logs
- l####.####.com/sdk.php
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/code-8333775/eHHT2Xzts0miaUSq
- <Package Folder>/databases/Xg7ose9nrM2j4hkAZbK9fTKF4VU7H7dw_7hWYQ==_4w5FQa_lYpasimf4UW45nQ==
- <Package Folder>/databases/Xg7ose9nrM2j4hkAZbK9fTKF4VU7H7dw_7hWYQ==_4w5FQa_lYpasimf4UW45nQ==-journal
- <Package Folder>/databases/Xg7ose9nrM2j4hkAZbK9fTKF4VU7H7dw_7hWYQ==_9_ZRVEeReqORhzGA
- <Package Folder>/databases/Xg7ose9nrM2j4hkAZbK9fTKF4VU7H7dw_7hWYQ==_9_ZRVEeReqORhzGA-journal
- <Package Folder>/databases/Xg7ose9nrM2j4hkAZbK9fTKF4VU7H7dw_7hWYQ==_BIebztmjhZueDOwaBRSrITylka8=
- <Package Folder>/databases/Xg7ose9nrM2j4hkAZbK9fTKF4VU7H7dw_7hWYQ==_BIebztmjhZueDOwaBRSrITylka8=-journal
- <Package Folder>/databases/Xg7ose9nrM2j4hkAZbK9fTKF4VU7H7dw_7hWYQ==_Uvg0-h-hhg_Hy9bzoJ2YYQ==
- <Package Folder>/databases/Xg7ose9nrM2j4hkAZbK9fTKF4VU7H7dw_7hWYQ==_Uvg0-h-hhg_Hy9bzoJ2YYQ==-journal
- <Package Folder>/databases/Xg7ose9nrM2j4hkAZbK9fTKF4VU7H7dw_7hWYQ==_fAV4nOBnL0Q=-journal
- <Package Folder>/databases/cc.db
- <Package Folder>/databases/cc.db-journal
- <Package Folder>/databases/ua.db
- <Package Folder>/databases/ua.db-journal
- <Package Folder>/files/####/-1PS5fN92Lw38PncJhRLDCSUWRQ=
- <Package Folder>/files/####/16783cfc-d6cb-4db4-b2bc-435986619aad.pic.temp
- <Package Folder>/files/####/1fb472fe-b11b-4e0f-90e6-2bb9daf19204.pic.temp
- <Package Folder>/files/####/24776894-04cc-4556-a028-715690aa665a.pic.temp
- <Package Folder>/files/####/3JwTkyqrkjQUTeRwmiKssqY8ZP7EeimF.new
- <Package Folder>/files/####/43f2fcf1-ae81-4c5b-825a-ebcf4c5e2ab4.pic.temp
- <Package Folder>/files/####/49322c50-5a33-48b3-b0d7-93e2617b6f18.pic.temp
- <Package Folder>/files/####/5-hvZf_9ZBaVyEhJOpCeH104eBPZf8k8.new
- <Package Folder>/files/####/5645242c-b9ae-4bc4-b6e1-51d64291bdff.pic
- <Package Folder>/files/####/569ee3e1-71d0-42e7-8f4e-e3ea669bc5cc.pic
- <Package Folder>/files/####/63a74a0c-9cdd-41e7-8f75-e24750ccb1ba.pic.temp
- <Package Folder>/files/####/6f85d513-2703-4343-85ed-3f9861014fc8.pic.temp
- <Package Folder>/files/####/8fec52d2-3a33-4d92-80e7-06ef8a3deab5.pic.temp
- <Package Folder>/files/####/995d9851-6508-4eb8-8a6e-e6c043e168ca.pic.temp
- <Package Folder>/files/####/9ISlNeh8dV1VcqjkOIYLFoz8FPMXDpaBDtGaAw==.new
- <Package Folder>/files/####/ANAEzJNOthRl_ErdiGB0CZwP8rY=
- <Package Folder>/files/####/CsFPwIM0pxXPyDQv.zip
- <Package Folder>/files/####/ECOrTTbiRpOa0n09DbdqkTSGq5g=.new
- <Package Folder>/files/####/FBCHj3jEk7LyhJMO2jGN7Q==.new
- <Package Folder>/files/####/PbY6JCY1icMzoJs_8Wf80WMvoJE=.new
- <Package Folder>/files/####/RZIOLlxFrmpi1wt4o8RucykoBtrttmzQAxLoLrAqj_k=.new
- <Package Folder>/files/####/Tyhmh4GTMT-hm5DpSdTVQw==.new
- <Package Folder>/files/####/XB_gLh3enl3qGPK8myM5Lc7tYK8a6ZY3.new
- <Package Folder>/files/####/YZPraiczcAE0TzatGbm52QPslDasIhiGtHq99vgqnGc=.new
- <Package Folder>/files/####/YbfaoFilm-4t4FiX1MRIRJ0-kdxdRsige_nV7Q==.new
- <Package Folder>/files/####/ZDy91JobCU6d9_aI
- <Package Folder>/files/####/_ZBPUZkdA76Yn_SZuohjrrho-j0=.new
- <Package Folder>/files/####/aB2m9f2aUIgc_CXOEdViuQ==
- <Package Folder>/files/####/aB2m9f2aUIgc_CXOEdViuQ==.new
- <Package Folder>/files/####/b527e3c2-753d-490c-bf14-33cb2605f57f.pic.temp
- <Package Folder>/files/####/e5ad6151-3ed5-4d89-9c8a-72ac07ab36b1.pic.temp
- <Package Folder>/files/####/exchangeIdentity.json
- <Package Folder>/files/####/fe88b9be-71a1-4588-862a-87bf57a93910.pic.temp
- <Package Folder>/files/####/fnL6vgOBHAcjiExmhWwZcg==
- <Package Folder>/files/####/hurbuw_f.zip
- <Package Folder>/files/####/icyixIGx68SB_jUk2yPRcE3HO3KCVtWB.new
- <Package Folder>/files/####/jSkjYDW_RRRS6aJSsR_7qnqKu4HuwuvZ.new
- <Package Folder>/files/####/jlYQqg2zF65IHGODpapLzHrM0bhJvV3It7bjPA==.new
- <Package Folder>/files/####/pe1IRvQZyJjsSlOaE9EIJ17xtV6TSfjKLDK99zSfVak=.new
- <Package Folder>/files/####/qRLwvBCLetT6TNAvjkanR68NibjpYHZHx3iWu4kqW7M=.new
- <Package Folder>/files/####/rhDWcXMRPKnKWjkJ.new
- <Package Folder>/files/####/runner_info.prop.new
- <Package Folder>/files/####/s-OhoOjOrfuSaq3PrOmhhA==
- <Package Folder>/files/####/skGGgYzT-cEFFg9GmCMMA2pPglvjTgJs
- <Package Folder>/files/####/skGGgYzT-cEFFg9GmCMMA2pPglvjTgJs.new
- <Package Folder>/files/####/skGGgYzT-cEFFg9GmCMMA2pPglvjTgJs.old (deleted)
- <Package Folder>/files/####/tNUW5pY7q3S14GqddSXp0CSWyAgTU-jS.new
- <Package Folder>/files/####/toAq8bZoK3f61tD4jXrYXAIbmM5MsJpE.new
- <Package Folder>/files/####/wZUumiJjxojE1p63Dh2DQDIf3xU=.new
- <Package Folder>/files/.imprint
- <Package Folder>/files/exid.dat
- <Package Folder>/files/patch.jar
- <Package Folder>/files/rdata_comgithubclient.new
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/shared_prefs/Alvin2.xml
- <Package Folder>/shared_prefs/ContextData.xml
- <Package Folder>/shared_prefs/share_data.xml
- <Package Folder>/shared_prefs/share_data.xml.bak
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <SD-Card>/.DataStorage/ContextData.xml
- <SD-Card>/.UTSystemConfig/####/Alvin2.xml
- <SD-Card>/.armsd/####/1611f51c-2f48-4f02-adfa-c7bed9fa8c86.res
- <SD-Card>/.armsd/####/47115056-79e3-4246-9fcf-dda9e87f685e.res
- <SD-Card>/.armsd/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
- <SD-Card>/.armsd/####/5fb27acf-5643-4eff-8e8a-63344a05a623.res
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
- <SD-Card>/.armsd/####/MP8MtaBuguN9jnuSwtN1kQ==
- <SD-Card>/.armsd/####/f524a222-ea58-4ed9-aa97-1b6999d6e828.res
- <SD-Card>/.armsd/####/r_pkDgN4OhnkSa0D
- <SD-Card>/.env/.uunique.new
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/code-8333775/eHHT2Xzts0miaUSq -p <Package> -c com.github.client.blfeug.a.a.d.c -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
- sh <Package Folder>/code-8333775/eHHT2Xzts0miaUSq -p <Package> -c com.github.client.blfeug.a.a.d.c -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
Загружает динамические библиотеки:
- ijkffmpeg
- ijkplayer
- ijksdl
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- RSA-ECB-PKCS1Padding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
