Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Xiny.73.origin
Предлагает установить сторонние приложения.
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 45.33.1####.188:80
- TCP(HTTP/1.1) t####.admob####.com:80
- TCP(HTTP/1.1) sp.adpusho####.com:7088
- TCP(HTTP/1.1) t####.pink####.com:80
- TCP(HTTP/1.1) uswild####.al####.com.####.net:80
- TCP(HTTP/1.1) ad.api.y####.net:80
- TCP(HTTP/1.1) trac####.pubt####.com:80
- TCP(HTTP/1.1) clinkad####.com:80
- TCP(HTTP/1.1) boo####.offerst####.net:80
- TCP(HTTP/1.1) duc####.b####.com:80
- TCP(HTTP/1.1) www.app####.com:80
- TCP(HTTP/1.1) atracki####.appf####.com:80
- TCP(HTTP/1.1) advc####.weclou####.com:80
- TCP(HTTP/1.1) 4####.33.0.176:80
- TCP(HTTP/1.1) aws.smarter####.net:80
- TCP(HTTP/1.1) www.okyes####.com:8081
- TCP(HTTP/1.1) t.api.y####.net:80
- TCP(HTTP/1.1) ssp.nan####.com:80
- TCP(HTTP/1.1) gl####.ymtrac####.com:80
- TCP(HTTP/1.1) a####.app####.com:80
- TCP(HTTP/1.1) c####.howdo####.net:80
- TCP(HTTP/1.1) adnet####.traffic####.net:80
- TCP(HTTP/1.1) clk.apxadtr####.net:80
- TCP(HTTP/1.1) t####.hxc####.com:80
- TCP(HTTP/1.1) c####.u####.u####.com:80
- TCP(HTTP/1.1) c####.sz####.com:80
- TCP(HTTP/1.1) www.koapk####.com:8081
- TCP(HTTP/1.1) c####.crunchi####.com:80
- TCP(HTTP/1.1) api.c.avazuna####.com:80
- TCP(HTTP/1.1) trac####.shootme####.com:80
- TCP(HTTP/1.1) clk.ocea####.com:80
- TCP(HTTP/1.1) www.click####.bid:80
- TCP(TLS/1.0) c####.apprev####.com:443
- TCP(TLS/1.0) app####.hs.l####.net:443
- TCP(TLS/1.0) p####.go####.com:443
- TCP(TLS/1.0) a####.app####.com:443
- TCP(TLS/1.0) trac####.artofc####.com:443
Запросы DNS:
- a####.app####.com
- a####.app####.com
- ad.api.y####.net
- adnet####.hadoopf####.com
- advc####.weclou####.com
- api.c.avazuna####.com
- app####.hs.l####.net
- atracki####.appf####.com
- aws.smarter####.net
- boo####.offerst####.net
- c####.apprev####.com
- c####.crunchi####.com
- c####.howdo####.net
- c####.sz####.com
- c####.u####.u####.com
- clinkad####.com
- clk.apxadtr####.net
- clk.ocea####.com
- duc####.b####.com
- gl####.ymtrac####.com
- mt####.go####.com
- p####.go####.com
- s.c####.aliexp####.com
- sp.adpusho####.com
- ssp.nan####.com
- t####.admob####.com
- t####.hxc####.com
- t####.pink####.com
- t.api.y####.net
- trac####.artofc####.com
- trac####.pubt####.com
- trac####.shootme####.com
- www.app####.com
- www.click####.bid
- www.koapk####.com
- www.okyes####.com
Запросы HTTP GET:
- a####.app####.com/aff_c?offer_id=####&aff_id=####&aff_sub4=####&aff_sub=...
- advc####.weclou####.com/advclick?advposid=####&mapid=####&aid=####&adid=...
- c####.u####.u####.com/index.php?service=####&pub=####&offer_id=####&uc_t...
- duc####.b####.com/click/affClick?aff_id=####&offer_id=####&aff_sub=####&...
- ssp.nan####.com/aff/ssp/click?channel=####&uuid=####&id=####&aoid=####&c...
- t####.admob####.com/adTrack/track/click?oid=####&affid=####&aff_click_id...
- t####.pink####.com/tracking?tid=####&gaid=####&idfa=####&andid=####&imei...
- trac####.pubt####.com/click?offer_id=####&sub_id=####&click_id=####&sub_...
- uswild####.al####.com.####.net/app/subpay?sk=####&channel=####&sp=####&c...
- uswild####.al####.com.####.net/app/umeng?pid=####&dp=####&af=####&sk=###...
Запросы HTTP POST:
- sp.adpusho####.com:7088/sdk_p/a
- sp.adpusho####.com:7088/sdk_p/b
- www.koapk####.com:8081/sm/sr/rt/ry
- www.okyes####.com:8081/sdk/nsd.action?b=####
- www.okyes####.com:8081/sdk/nsd.action?b=####&ci=####&ct=####&re=####&sd=...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/_AppInfor.xml
- /data/data/####/_c_month.xml
- /data/data/####/databases.db-journal
- /data/data/####/resource_status_xml.xml
- /data/data/####/sub_preference_name.xml
- /data/data/####/webview.db-journal
- <Package Folder>/databases/bdownloaders.db-journal
- <Package Folder>/databases/swith1014.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/201711071650.apk
- <Package Folder>/files/c201711071650.apk
- <Package Folder>/shared_prefs/20160121.xml
- <Package Folder>/shared_prefs/Q2hhbm5lbElES2V5MjAxNjEyMjcxODU3.xml
- <Package Folder>/shared_prefs/af.xml
- <Package Folder>/shared_prefs/duspf6030945.xml
- <SD-Card>/APPMarket/####/5202576.apk
- <SD-Card>/APPMarket/####/554102142.jpg.tmp
- <SD-Card>/Android/####/.nomedia
- <SD-Card>/Android/####/journal
- <SD-Card>/Android/####/journal.tmp
- <SD-Card>/test1510055895581
Другие:
Запускает следующие shell-скрипты:
- .kugua
- .kugua -c id
- app_process /system/bin com.android.commands.pm.Pm path com.dyve.toolbox.d0284
- c201711071650.apk -p <Package> -c <Package>:lol
- chmod 6777 <Package Folder>/files/c201711071650.apk
- logcat -d -v time
- ps
- sh
Загружает динамические библиотеки:
- com.riot
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
