Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.589.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(GCM) <Google Host>
- TCP(HTTP/1.1) cdnappl####.b0.a####.com:80
- TCP(HTTP/1.1) a####.app####.com:80
- TCP(HTTP/1.1) cdnimgl####.b0.a####.com:80
- TCP(HTTP/1.1) app####.hs.l####.net:80
- TCP(HTTP/1.1) cdnyxzf####.b0.a####.com:80
- TCP(HTTP/1.1) l####.chunzhe####.cn:80
Запросы DNS:
- a####.app####.com
- app####.hs.l####.net
- cdn.app.kac####.cn
- cdn.app.qqy####.cn
- cdn.img.qqy####.cn
- l####.chunzhe####.cn
Запросы HTTP GET:
- cdnyxzf####.b0.a####.com/sfile/201708/04/all/cp_V2.7.4.1.txt
Запросы HTTP POST:
- l####.chunzhe####.cn/hadat/a/kci
- l####.chunzhe####.cn/hadat/b/elotz
- l####.chunzhe####.cn/hadat/cl/xcknc
- l####.chunzhe####.cn/hadat/f/dw
- l####.chunzhe####.cn/hadat/kf/ehni
- l####.chunzhe####.cn/hadat/kq/csmd
- l####.chunzhe####.cn/hadat/muh/fj
- l####.chunzhe####.cn/hadat/mul/wmr
- l####.chunzhe####.cn/hadat/nqlvb/agye
- l####.chunzhe####.cn/hadat/pjmt/sfwc
- l####.chunzhe####.cn/hadat/rai/elot
- l####.chunzhe####.cn/hadat/xvfcl/g
- l####.chunzhe####.cn/jzbdt/e/piz/j
- l####.chunzhe####.cn/jzbdt/wqocu/q
- l####.chunzhe####.cn/jzbdt/zkwte/xjny
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/cache/####/data_0
- <Package Folder>/cache/####/data_1
- <Package Folder>/cache/####/data_2
- <Package Folder>/cache/####/data_3
- <Package Folder>/cache/####/index
- <Package Folder>/cache/ads242607255.jar
- <Package Folder>/databases/t_u.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/databases/webviewCookiesChromium.db-journal
- <Package Folder>/databases/webviewCookiesChromium.db-journal (deleted)
- <Package Folder>/files/lp.jar
- <Package Folder>/files/uz.jar
- <Package Folder>/shared_prefs/appnextCap.xml
- <Package Folder>/shared_prefs/dsi.xml
- <Package Folder>/shared_prefs/kr.xml
- <Package Folder>/shared_prefs/kr.xml.bak
- <Package Folder>/shared_prefs/sfe.xml
- <Package Folder>/shared_prefs/sfe.xml.bak
- <Package Folder>/shared_prefs/wv.xml
- <Package Folder>/shared_prefs/wv.xml.bak
- <SD-Card>/Android/####/5cb22346b3327
- <SD-Card>/Android/####/8181cca4e38df9c8688db25d3dca657d.apk
- <SD-Card>/Android/####/8f6055c0af61e
- <SD-Card>/Android/####/9c662cc144928
- <SD-Card>/Android/####/V2.7.4.1.txt
- <SD-Card>/Android/####/b.tmp
- <SD-Card>/Android/####/b2a3f1b27ebba9010a77099c174222ed.apk
- <SD-Card>/Android/####/d18a589d7cb40
- <SD-Card>/Android/####/d5ebb93c1acba822ecab03a718b4831f.apk
- <SD-Card>/Android/####/e0c8dbd1393f34cf8d1f78d12a28aa5f.apk
Другие:
Запускает следующие shell-скрипты:
- chmod 777 /storage/emulated/0/Android/data/<Package>/files/Download/Android/azb/8181cca4e38df9c8688db25d3dca657d.apk
- chmod 777 /storage/emulated/0/Android/data/<Package>/files/Download/Android/azb/b2a3f1b27ebba9010a77099c174222ed.apk
- chmod 777 /storage/emulated/0/Android/data/<Package>/files/Download/Android/azb/d5ebb93c1acba822ecab03a718b4831f.apk
- chmod 777 /storage/emulated/0/Android/data/<Package>/files/Download/Android/azb/e0c8dbd1393f34cf8d1f78d12a28aa5f.apk
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- DES
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Осуществляет доступ к информации о зарегистрированных на устройстве аккаунтах (Google, Facebook и тд.).
Отрисовывает собственные окна поверх других приложений.
