Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.155.origin
- Android.Triada.178
- Android.Triada.248.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(GCM) <Google Host>
- TCP(HTTP/1.1) l.ace####.com:80
- TCP(HTTP/1.1) www.huangda####.com:80
- TCP(HTTP/1.1) 1####.75.30.57:10001
- TCP(HTTP/1.1) 1####.59.40.34:19000
- TCP(HTTP/1.1) img.ace####.com:80
- TCP(HTTP/1.1) api.var####.com:80
- TCP(HTTP/1.1) loc.map.b####.com:80
Запросы DNS:
- api.var####.com
- c.jinqia####.com
- h5.tt-hong####.com
- img.ace####.com
- l.ace####.com
- loc.map.b####.com
- www.huangda####.com
Запросы HTTP GET:
- l.ace####.com/ando/v2/mn?k=####&d=####&m=####
- www.huangda####.com/active!activeLog.action?provider=####&clickId=####&m...
- www.huangda####.com/resource!resource?resTypes=####&appid=####&channel=#...
Запросы HTTP POST:
- l.ace####.com/ando/v1/x/ap?app_id=####&r=####
- l.ace####.com/ando/v1/x/lv?app_id=####&r=####
- l.ace####.com/ando/v1/x/qa?app_id=####&r=####
- loc.map.b####.com/sdk.php
- www.huangda####.com/mobilepay/v2/getPayInfoListX2.do
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/EOZTzhVG.jar
- <Package Folder>/cache/####/data_0
- <Package Folder>/cache/####/data_1
- <Package Folder>/cache/####/data_2
- <Package Folder>/cache/####/data_3
- <Package Folder>/cache/####/index
- <Package Folder>/code-4905213/BVxnip9mFP_yqnu8
- <Package Folder>/databases/####/cc.db
- <Package Folder>/databases/####/cc.db-journal
- <Package Folder>/databases/5DaCItpRjOk_476JXpAwIUbaM8jqelBi_1F7...ournal
- <Package Folder>/databases/5DaCItpRjOk_476JXpAwIUbaM8jqelBi_1F7...v-wuU=
- <Package Folder>/databases/5DaCItpRjOk_476JXpAwIUbaM8jqelBi_5Ha...iXPw==
- <Package Folder>/databases/5DaCItpRjOk_476JXpAwIUbaM8jqelBi_5Ha...ournal
- <Package Folder>/databases/5DaCItpRjOk_476JXpAwIUbaM8jqelBi_PCe...ournal
- <Package Folder>/databases/5DaCItpRjOk_476JXpAwIUbaM8jqelBi_kZT...ZZPg==
- <Package Folder>/databases/5DaCItpRjOk_476JXpAwIUbaM8jqelBi_kZT...ournal
- <Package Folder>/databases/5DaCItpRjOk_476JXpAwIUbaM8jqelBi_mR9...dwR0s6
- <Package Folder>/databases/5DaCItpRjOk_476JXpAwIUbaM8jqelBi_mR9...ournal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/databases/webviewCookiesChromium.db-journal (deleted)
- <Package Folder>/files/####/2IAfBhkdmUH1fyJ8CconGQ==
- <Package Folder>/files/####/2IAfBhkdmUH1fyJ8CconGQ==.new
- <Package Folder>/files/####/375dff46-1672-4283-88fc-fce06dabd065.pic.temp
- <Package Folder>/files/####/3QTNhRWjhHE4ynDxzmHZfu4-cgU=
- <Package Folder>/files/####/3Z7OSEYL_tqUUnyBVIpUxQ==
- <Package Folder>/files/####/3Z7OSEYL_tqUUnyBVIpUxQ==.new
- <Package Folder>/files/####/3Z7OSEYL_tqUUnyBVIpUxQ==.old (deleted)
- <Package Folder>/files/####/3c4650fe-2cd2-4ddb-8f3c-bdc48afa6408.pic
- <Package Folder>/files/####/3tK6zUN7yWYg2_fG.zip
- <Package Folder>/files/####/4e7xJs0xOtj821GBrK64QSqBc68OhzKqjDk...Q=.new
- <Package Folder>/files/####/79954cc8-f9d7-4cb4-84e5-678bef23d41d.pic
- <Package Folder>/files/####/7GRk_QgFM1MX9pBWkLKOhtdVmmg=
- <Package Folder>/files/####/7GRk_QgFM1MX9pBWkLKOhtdVmmg=.new
- <Package Folder>/files/####/8mBdBXD1yZ7cO5o2-3pZ2P6nGtEf19tM.new
- <Package Folder>/files/####/AAI25NDcyWfMRsqa6SjPyCfZTPTPuaVsLfw...A=.new
- <Package Folder>/files/####/FM_dIvIWGR3KYWaIN2S3pdnmqbH2T5vI34HLzg==.new
- <Package Folder>/files/####/KUBucV8eCd9KBoyuovfWHCGx2yhIdSy2ndOVtQ==.new
- <Package Folder>/files/####/O2gVgN69aQYIQus9oKZfILz4XBAQ6B5o.new
- <Package Folder>/files/####/OJ1OfJU4hwx_Q-eG_B1_fBY_czo=.new
- <Package Folder>/files/####/PKLkWbUNjj2X4Z5VZo0hMRVY_eGwvTjs.new
- <Package Folder>/files/####/Vz1kUEGu_D1GE3Ep.new
- <Package Folder>/files/####/Wa15s0Pb1fJypq7qGfjyfQP7yuw8zzH8.new
- <Package Folder>/files/####/Xq2C8J-Q06dDRZdYv0i2iUvlbKSG0bHm.new
- <Package Folder>/files/####/Z8JUlX1rgBDxr_4R_mFpGasGuXJ9ZshWjKK...I=.new
- <Package Folder>/files/####/c2236e8d-4d66-4174-982b-8a1a0eac7672.pic.temp
- <Package Folder>/files/####/cc0685c8-e43b-4c9e-a196-61cc2dba1dff.pic.temp
- <Package Folder>/files/####/d9804246-a4e8-4423-a412-25ed5c37abfc.pic.temp
- <Package Folder>/files/####/data.dat.tmp
- <Package Folder>/files/####/dkug-WMyNA2Z5KWI7Tqqcqr-ubU=.new
- <Package Folder>/files/####/hB8q5eJn1roztJpO
- <Package Folder>/files/####/iHNT8XlDP11_JOuEFLZaTSp7WHR6dQya
- <Package Folder>/files/####/iHNT8XlDP11_JOuEFLZaTSp7WHR6dQya.new
- <Package Folder>/files/####/iHNT8XlDP11_JOuEFLZaTSp7WHR6dQya.old (deleted)
- <Package Folder>/files/####/libus.so
- <Package Folder>/files/####/mxifQRTRua8hSuyEZWW8iv-g8fs=.new
- <Package Folder>/files/####/o74hXejtktMTL9pfe72Eq28xDGVdyrGr.new
- <Package Folder>/files/####/oE5vHkTcZPss6Eu2OvxR-DaKmrZfx9Asf8l-9Q==.new
- <Package Folder>/files/####/runner_info.prop.new
- <Package Folder>/files/####/sbcnua_f.zip
- <Package Folder>/files/####/t3kuRmfnvY3ocumAQD5FOQpU0ni1d2zz.new
- <Package Folder>/files/####/usN5CbLYbc5vNoBWMn06JoQNVg0=.new
- <Package Folder>/files/####/v1RKoycIL8gbPFoB9rC_oA==
- <Package Folder>/files/####/vg0FKr1h7y98AebADZ-2v1Wv_XsNWbhAXXs...U=.new
- <Package Folder>/files/####/y4eDNhB1-_MmP_PxMNlHJA==
- <Package Folder>/files/####/y4eDNhB1-_MmP_PxMNlHJA==.new
- <Package Folder>/shared_prefs/pretw.xml
- <Package Folder>/shared_prefs/twj.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/zzconfig.xml
- <SD-Card>/.armsd/####/5119308e-1a64-4d1b-b2a0-349649a994ce.res
- <SD-Card>/.armsd/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
- <SD-Card>/.armsd/####/MP8MtaBuguN9jnuSwtN1kQ==
- <SD-Card>/.armsd/####/bc87f812-cc8a-48a1-9858-49589875a977.res
- <SD-Card>/.armsd/####/c75d619b-8115-4757-927e-5c7df193b9e6.res
- <SD-Card>/.armsd/####/dd725ad9-b7fb-4ee1-8ddb-ba8a9cbba58f.res
- <SD-Card>/.armsd/####/r_pkDgN4OhnkSa0D
- <SD-Card>/.env/.uunique.new
- <SD-Card>/.twservice/####/tw
- <SD-Card>/.twservice/qshp_3002_2206.zip
- <SD-Card>/Download/channel_conf
- <SD-Card>/Download/channel_conf1
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/code-4905213/BVxnip9mFP_yqnu8 -p <Package> -c com.hoxq.lpve.uwisuq.a.a.c.b -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
- sh <Package Folder>/code-4905213/BVxnip9mFP_yqnu8 -p <Package> -c com.hoxq.lpve.uwisuq.a.a.c.b -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
Загружает динамические библиотеки:
- hetdx
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- DES
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Осуществляет доступ к информации об отправленых/принятых смс.
