Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.225
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) androi####.b####.com:80
- TCP(HTTP/1.1) img.p####.b####.####.net:80
- TCP(HTTP/1.1) b####.pc.cdn.####.com:80
- TCP(HTTP/1.1) u####.b####.com:80
- TCP(TLS/1.0) api.face####.com:443
- TCP(TLS/1.0) t####.appsf####.com:443
- TCP(TLS/1.0) d####.fl####.com:443
- TCP(TLS/1.0) api.appsf####.com:443
Запросы DNS:
- androi####.b####.com
- api.appsf####.com
- d####.fl####.com
- down####.androi####.b####.com
- g####.face####.com
- img.p####.b####.com
- s####.appre####.b####.com
- t####.appsf####.com
- u####.b####.com
- up####.mobilea####.b####.com
Запросы HTTP GET:
- androi####.b####.com/index.php/Applist/GetAppDetail?_branch=####&docid=#...
- androi####.b####.com/index.php/Applist/GetAppOperationList?_branch=####&...
- androi####.b####.com/index.php/Applist/GetCommentList?_branch=####&start...
- androi####.b####.com/index.php/Applist/GetRecommendedList?_branch=####&p...
- androi####.b####.com/index.php/Fb/getFbConfig?_branch=####&_language=####
- androi####.b####.com/index.php/Guid/GetGuidTab?_branch=####&simCode=####...
- androi####.b####.com/index.php/Home/getHomeAppInfo?group_name=####&_bran...
- androi####.b####.com/index.php/Tag/getTagDetail?group_name=####&_branch=...
- androi####.b####.com/index.php/ToolBox/getItems?_branch=####&picsize=###...
- b####.pc.cdn.####.com/public/uploads/store_4/7/9/4/79456d5057dc3b6bbb0cc...
Запросы HTTP POST:
- androi####.b####.com/index.php/Applist/CheckAppUpdateList?_branch=####&c...
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/databases/baidu_androidStore.db-journal
- <Package Folder>/databases/downloads.db-journal
- <Package Folder>/files/.FlurrySenderIndex.info.AnalyticsData_JP...CR_159
- <Package Folder>/files/.FlurrySenderIndex.info.AnalyticsMain
- <Package Folder>/files/.flurryagent.3a4e6cb
- <Package Folder>/files/.flurrydatasenderblock.52875974-7f7e-4c0...ed170b
- <Package Folder>/files/.jiagu.ls
- <Package Folder>/files/6c9fd704ebb2621568a907cf895da704
- <Package Folder>/files/AF_INSTALLATION
- <Package Folder>/files/action
- <Package Folder>/files/basicdata
- <Package Folder>/files/d8938cc6f87ef36105da43e88e24467b
- <Package Folder>/files/libjiagu.so
- <Package Folder>/files/libprocmox_v1_4.so
- <Package Folder>/shared_prefs/<Package>.push_sync.xml
- <Package Folder>/shared_prefs/AdsBusiness-data.xml
- <Package Folder>/shared_prefs/FBAdPrefs.xml
- <Package Folder>/shared_prefs/SDKIDFA.xml
- <Package Folder>/shared_prefs/appsflyer-data.xml
- <Package Folder>/shared_prefs/batsdk_user_info.xml
- <Package Folder>/shared_prefs/bd.xml
- <Package Folder>/shared_prefs/bindcache.xml
- <Package Folder>/shared_prefs/config.xml
- <Package Folder>/shared_prefs/statistic.xml
- <SD-Card>/Android/####/-1103974333.0.tmp
- <SD-Card>/Android/####/-1466295412.0.tmp
- <SD-Card>/Android/####/-1472005365.0.tmp
- <SD-Card>/Android/####/-1746078731.0.tmp
- <SD-Card>/Android/####/-1780652251.0.tmp
- <SD-Card>/Android/####/-1930544722.0.tmp
- <SD-Card>/Android/####/-2057066155.0.tmp
- <SD-Card>/Android/####/-2106248.0.tmp
- <SD-Card>/Android/####/-359899767.0.tmp
- <SD-Card>/Android/####/-443563878.0.tmp
- <SD-Card>/Android/####/-662095355.0.tmp
- <SD-Card>/Android/####/.nomedia
- <SD-Card>/Android/####/1203586534.0.tmp
- <SD-Card>/Android/####/1215750548.0.tmp
- <SD-Card>/Android/####/1216674069.0.tmp
- <SD-Card>/Android/####/1217597590.0.tmp
- <SD-Card>/Android/####/1218521111.0.tmp
- <SD-Card>/Android/####/1219444632.0.tmp
- <SD-Card>/Android/####/1220368153.0.tmp
- <SD-Card>/Android/####/1221291674.0.tmp
- <SD-Card>/Android/####/1222215195.0.tmp
- <SD-Card>/Android/####/1223138716.0.tmp
- <SD-Card>/Android/####/1430188327.0.tmp
- <SD-Card>/Android/####/1478041753.0.tmp
- <SD-Card>/Android/####/1540107902.0.tmp
- <SD-Card>/Android/####/1692343328.0.tmp
- <SD-Card>/Android/####/1941218582.0.tmp
- <SD-Card>/Android/####/407349275.0.tmp
- <SD-Card>/Android/####/422611206.0.tmp
- <SD-Card>/Android/####/750140431.0.tmp
- <SD-Card>/Android/####/796665745.0.tmp
- <SD-Card>/Android/####/996091251.0.tmp
- <SD-Card>/Android/####/journal.tmp
- <SD-Card>/baidu/####/channel
- <SD-Card>/baidu/####/journal.tmp
- <SD-Card>/baidu/.cuid
Другие:
Запускает следующие shell-скрипты:
- 82c73a2dd158cfeb2e534fe7688aa652_procmo libprocmox_v1_4.so <Package Folder> /data/app-lib/<Package>-1 82c73a2dd158cfeb2e534fe7688aa652 http://sync.appreport.baidu.com/cgi-bin-py-appstore/appstore_report_get_msg.cgi?type=uninstall&userId=993013F4D98752156A695FDCE05F2781|598153950705653&channel=Newmt_id_PRE_CHARGE&subChannel=&currChannel=Newmt_id_PRE_CHARGE&appVer=186&appVerName=3.0.3.8408&networkType=UNKNOWN&networkCountryIos=us&model=<System Property>&verRelease=4.3.1&screenHight=752&screenWidth=600&unInstallTime=1512437542335&countryIso=us 1
- <Package Folder>/files/libprocmox_v1_4.so <Package Folder> /data/app-lib/<Package>-1 82c73a2dd158cfeb2e534fe7688aa652 http://sync.appreport.baidu.com/cgi-bin-py-appstore/appstore_report_get_msg.cgi?type=uninstall&userId=993013F4D98752156A695FDCE05F2781|598153950705653&channel=Newmt_id_PRE_CHARGE&subChannel=&currChannel=Newmt_id_PRE_CHARGE&appVer=186&appVerName=3.0.3.8408&networkType=UNKNOWN&networkCountryIos=us&model=<System Property>&verRelease=4.3.1&screenHight=752&screenWidth=600&unInstallTime=1512437542335&countryIso=us 1
- su
Загружает динамические библиотеки:
- bdpush_V2_3
- libjiagu
- procmoi_v1_4
Использует повышенные привилегии.
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
