Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.247.origin
- Android.Triada.248.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- 6####.####.140
- a####.####.com
- cnmon####.com
- cnmon####.com:8080
- i####.####.com
- l####.####.com
Запросы HTTP GET:
- 6####.####.140/ando/i/mon?k=####&d=####
- cnmon####.com/console/client/spApi/init/data.do?productNo=####&pModel=##...
- cnmon####.com:8080/console/client/app/check/data.do?pModel=####&netType=...
- i####.####.com/ando-res/ads/4/5/d73ab4a4-4c75-43a7-a3c9-5bdabd9437c8/d26...
Запросы HTTP POST:
- a####.####.com/app_logs
- l####.####.com/sdk.php
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/code-1250051/OZiG36-dV5b4KXQ9
- <Package Folder>/databases/0HN--133IvkhkX3YFDA_vsIQ_1qLYGVQ_7V_SobAh8EwvHCJN2oN5kQ==
- <Package Folder>/databases/0HN--133IvkhkX3YFDA_vsIQ_1qLYGVQ_7V_SobAh8EwvHCJN2oN5kQ==-journal
- <Package Folder>/databases/0HN--133IvkhkX3YFDA_vsIQ_1qLYGVQ_Q8wXeu5Bpr3oyg4sUlmGGHR-VGw=
- <Package Folder>/databases/0HN--133IvkhkX3YFDA_vsIQ_1qLYGVQ_Q8wXeu5Bpr3oyg4sUlmGGHR-VGw=-journal
- <Package Folder>/databases/0HN--133IvkhkX3YFDA_vsIQ_1qLYGVQ_oPTbYFcJbtlg_0FJ
- <Package Folder>/databases/0HN--133IvkhkX3YFDA_vsIQ_1qLYGVQ_oPTbYFcJbtlg_0FJ-journal
- <Package Folder>/databases/0HN--133IvkhkX3YFDA_vsIQ_1qLYGVQ_xUkOErRNh4w=-journal
- <Package Folder>/databases/0HN--133IvkhkX3YFDA_vsIQ_1qLYGVQ_yZg-S9QHMilq5RMERQnDPg==
- <Package Folder>/databases/0HN--133IvkhkX3YFDA_vsIQ_1qLYGVQ_yZg-S9QHMilq5RMERQnDPg==-journal
- <Package Folder>/databases/cc.db
- <Package Folder>/databases/cc.db-journal
- <Package Folder>/databases/ua.db
- <Package Folder>/databases/ua.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/####/08Lu8rbKlHKQo6BSNY75sQ==.new
- <Package Folder>/files/####/1jezT7MSKPlkI-zx7yv2YEKyPJGiyab8PK4lEaCjyFE=.new
- <Package Folder>/files/####/2ba064ed-c45d-4c62-9a2f-7884cc1c478c.pic.temp
- <Package Folder>/files/####/385a61fa523b71f706745f5784d1bd76.jar
- <Package Folder>/files/####/4bc05e84-9c81-4e79-afbf-8fd1f26ffadc.pic.temp
- <Package Folder>/files/####/6a091634-e45c-4154-8649-72d2843c53f9.pic.temp
- <Package Folder>/files/####/71NpBlTbWyEgEbRqWhWDjw==
- <Package Folder>/files/####/71NpBlTbWyEgEbRqWhWDjw==.new
- <Package Folder>/files/####/7f3919e6-a898-407f-b1cf-6d5bebbf5b1b.pic.temp
- <Package Folder>/files/####/809041966a0c59b55b5f3be02b341369.dat
- <Package Folder>/files/####/809041966a0c59b55b5f3be02b341369.jar
- <Package Folder>/files/####/92bf57bc-147a-453e-9213-058f734ac187.pic.temp
- <Package Folder>/files/####/9stqrD_PNBxHp6xyk4qEwpOiKzK3nojTiGC1fQ==.new
- <Package Folder>/files/####/KIbfShOhDQ0HLFxnVrnSSbAugyO1OCRx.new
- <Package Folder>/files/####/LwqNDJCA60A0QF5U.new
- <Package Folder>/files/####/N5wVv2v4XRTSL94DMpR4cyDnTPBqMn1JaV2oyN6xQVg=.new
- <Package Folder>/files/####/N8-0AF6Dxa9kLloz5S1I0cEGC7qALKLt.new
- <Package Folder>/files/####/Oh_88lJbcLU0SM7O.zip
- <Package Folder>/files/####/S6zfs4SJhAnuFmRcknpXQWrrzMH2-nr2.new
- <Package Folder>/files/####/TEgO-DFoj-49kvY0aMSmxm9DHcl4rcRi.new
- <Package Folder>/files/####/VoGEr2WjxJVpbE9G-j_j3aqpOEo=
- <Package Folder>/files/####/X74u8xBOrYcQkew2h0crS5JMJlLsYothMaccawdEV3s=.new
- <Package Folder>/files/####/XG4pL77-KGsiehzaErqXLyffWss=.new
- <Package Folder>/files/####/YHuFTD7p7qvU2D5wItfgGg==
- <Package Folder>/files/####/YiSW3cjNYSfaIeSgWVHskZirOYiKP_04.new
- <Package Folder>/files/####/a3f3ee6f-dcdd-4b5f-b2ae-1e7d7964177b.pic
- <Package Folder>/files/####/aLRD-2gUkwND-ZRIP_0hdQuqzj-KSsyFXFRSQw==.new
- <Package Folder>/files/####/c086e6d0-b236-4fb4-a697-be86094533a2.pic.temp
- <Package Folder>/files/####/cDJj8G72izHjBENa6rg0d-kicwdZGOz1.new
- <Package Folder>/files/####/es4RyE9dTLEoiB3Zyq6tGfjjpu4=
- <Package Folder>/files/####/es4RyE9dTLEoiB3Zyq6tGfjjpu4=.new
- <Package Folder>/files/####/exchangeIdentity.json
- <Package Folder>/files/####/f46a46c9-a1d4-4836-9715-ad0820c7332b.pic
- <Package Folder>/files/####/fhfQNxBl1Oz-qj6Tf8Iu91lzFOHWLa4j.new
- <Package Folder>/files/####/l4Y0mxJ_ln_ByeiJ8_PrJw==
- <Package Folder>/files/####/nf-_vMBs6ciUvHDL
- <Package Folder>/files/####/ogPQx0-zg4Su3mZtHENzcaUlnR8J1BW8co1m2Q==.new
- <Package Folder>/files/####/pl4gmB66xUhFxrkIj0qybfNjgfyR62OJ
- <Package Folder>/files/####/pl4gmB66xUhFxrkIj0qybfNjgfyR62OJ.new
- <Package Folder>/files/####/ra6CQRU5ltp6bfhInpX663aJs9g=.new
- <Package Folder>/files/####/runner_info.prop.new
- <Package Folder>/files/####/tkvzuq_f.zip
- <Package Folder>/files/####/uvPHTtBar97xeRWcB3ivqZMS2jY=.new
- <Package Folder>/files/####/vsHQToYsjMA19AxUMLxljg==.new
- <Package Folder>/files/####/wq3KFOjFe2IeU9ePoesgEvZbhl0=
- <Package Folder>/files/####/wq3KFOjFe2IeU9ePoesgEvZbhl0=.new
- <Package Folder>/files/####/ywkal0VyFuvH0YJIRXuOXZ1SdlWw4k-DkIBDYAR8DwY=.new
- <Package Folder>/files/.imprint
- <Package Folder>/files/exid.dat
- <Package Folder>/files/rdata_comgwoawnhy
- <Package Folder>/files/rdata_comgwoawnhy.new
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/shared_prefs/Alvin2.xml
- <Package Folder>/shared_prefs/ContextData.xml
- <Package Folder>/shared_prefs/com.monster.pay.bean.save.SaveMatch.xml
- <Package Folder>/shared_prefs/com.monster.pay.bean.save.SaveTask.xml
- <Package Folder>/shared_prefs/config.xml
- <Package Folder>/shared_prefs/config.xml.bak
- <Package Folder>/shared_prefs/initRoot.xml
- <Package Folder>/shared_prefs/installTime.xml
- <Package Folder>/shared_prefs/modelBean.xml
- <Package Folder>/shared_prefs/shield.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <SD-Card>/.DataStorage/ContextData.xml
- <SD-Card>/.UTSystemConfig/####/Alvin2.xml
- <SD-Card>/.armsd/####/0726f05b-14cb-4a35-bb79-93f076214e91.res
- <SD-Card>/.armsd/####/3f4d9169-ea84-49b1-a2f0-7cf60ae04001.res
- <SD-Card>/.armsd/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
- <SD-Card>/.armsd/####/7eeeae74-2c6e-4f3c-af14-fb6d595f1345.res
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
- <SD-Card>/.armsd/####/MP8MtaBuguN9jnuSwtN1kQ==
- <SD-Card>/.armsd/####/c3b171d7-093a-48a2-a437-00fd67e725ea.res
- <SD-Card>/.armsd/####/r_pkDgN4OhnkSa0D
- <SD-Card>/.env/.uunique
- <SD-Card>/.env/.uunique.new
- <SD-Card>/cash/cash_2017-08-04_log.txt
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/code-1250051/OZiG36-dV5b4KXQ9 -p <Package> -c com.gwoa.wnhy.vvbgua.hh.hh.dh.c -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
- sh <Package Folder>/code-1250051/OZiG36-dV5b4KXQ9 -p <Package> -c com.gwoa.wnhy.vvbgua.hh.hh.dh.c -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
Загружает динамические библиотеки:
- cocos2dcpp
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
