Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Xiny.84.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) s.y####.net:80
- TCP(HTTP/1.1) aow.d####.com:80
- TCP(HTTP/1.1) w####.q####.dn.####.com:80
- TCP(HTTP/1.1) a.dia####.com:80
- TCP(HTTP/1.1) aos.w####.y####.net:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) t####.dmp.y####.net:80
- TCP(HTTP/1.1) s####.gw.y####.####.com:80
- TCP(HTTP/1.1) t####.talking####.net:80
- TCP(HTTP/1.1) t.gl####.y####.net:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(TLS/1.0) jic.talking####.com:443
- UDP 2####.0.0.1:9998
Запросы DNS:
- 7r####.c####.z0.####.com
- a####.u####.com
- a.dia####.com
- and####.b####.qq.com
- aos.w####.y####.net
- aow.d####.com
- fb.u####.com
- i####.cn
- jic.talking####.com
- s####.gw.y####.net
- s.y####.net
- sos.d####.com
- soson####.qin####.com
- t####.dmp.y####.net
- t####.talking####.net
- t.gl####.y####.net
Запросы HTTP GET:
- a.dia####.com/dev/api/adlist/task.php?device_id=####&imsi=####&device_na...
- aos.w####.y####.net/v3/reqf?s=####
- aow.d####.com/a/aow/config?prv=####&sv=####&ipb=####&idv=####&msg=J6z####&
- aow.d####.com/rp?pkg_vn=####&sid=####&ov=####&ts=####&idv=####&data=####...
- s####.gw.y####.####.com/aos/v3/pns?s=####
- s.y####.net/stat/aos/v3/init?s=####
- s.y####.net/stat/aos/v3/pkc?s=####
- s.y####.net/stat/aos/v3/pku?s=####
- t.gl####.y####.net/v1/active?dv=####&ts=####&osv=####&pt=####&appid=####...
- w####.q####.dn.####.com/dynamic_sdk_4.5.2.jar
Запросы HTTP POST:
- a####.u####.com/app_logs
- a.dia####.com/dev/api/connect.php?device_id=####&imsi=####&device_name=#...
- a.dia####.com/dev/api/e_package_update.php
- and####.b####.qq.com/rqd/async
- aow.d####.com/a/aow/update?msg=1GF####
- aow.d####.com/rp?type=####&ipb=####&imei=####
- t####.c####.q####.####.com/031.zip
- t####.dmp.y####.net/v1/android/packages?rt=####&sign=####
- t####.talking####.net/g/d
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/databases/0a8f0dffe0021199b67707673567b57b
- <Package Folder>/databases/0a8f0dffe0021199b67707673567b57b-journal
- <Package Folder>/databases/39c04d9a08e947dbaea21128d2184a4f
- <Package Folder>/databases/39c04d9a08e947dbaea21128d2184a4f-journal
- <Package Folder>/databases/9b580e0618c6ed05a2c6334b68480659-journal
- <Package Folder>/databases/OxgHkj2lz09F
- <Package Folder>/databases/OxgHkj2lz09F-journal
- <Package Folder>/databases/P15pKIjsm64m
- <Package Folder>/databases/P15pKIjsm64m-journal
- <Package Folder>/databases/T1oX0rhhuXWt
- <Package Folder>/databases/T1oX0rhhuXWt-journal
- <Package Folder>/databases/XKwVoK0huy3R
- <Package Folder>/databases/XKwVoK0huy3R-journal
- <Package Folder>/databases/be0d8b69d734fafa10bcd1eedad35dce
- <Package Folder>/databases/be0d8b69d734fafa10bcd1eedad35dce-journal
- <Package Folder>/databases/bugly_db_-journal
- <Package Folder>/databases/e7696b73e71653ca4efe23def6e3de45
- <Package Folder>/databases/e7696b73e71653ca4efe23def6e3de45-journal
- <Package Folder>/databases/jqIqJYOT3JpT
- <Package Folder>/databases/jqIqJYOT3JpT-journal
- <Package Folder>/databases/wIU6pTyUBYWX
- <Package Folder>/databases/wIU6pTyUBYWX-journal
- <Package Folder>/databases/wsUL1uCdKvjD
- <Package Folder>/databases/wsUL1uCdKvjD-journal
- <Package Folder>/files/####/.DS_Store
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/files/####/MANIFEST.MF
- <Package Folder>/files/####/balance.min.css
- <Package Folder>/files/####/balance.min.js
- <Package Folder>/files/####/base.min.css
- <Package Folder>/files/####/base.min.css.map
- <Package Folder>/files/####/base.min.js
- <Package Folder>/files/####/base.min.js.map
- <Package Folder>/files/####/bg_permission_dialog.png
- <Package Folder>/files/####/bg_permission_dialog_app_name.png
- <Package Folder>/files/####/bg_permission_dialog_btn_jump.png
- <Package Folder>/files/####/bonusHeader.min.css
- <Package Folder>/files/####/bonusHeader.min.css.map
- <Package Folder>/files/####/curtain1.png
- <Package Folder>/files/####/detail.min.css
- <Package Folder>/files/####/detail.min.js
- <Package Folder>/files/####/empty.png
- <Package Folder>/files/####/exchangeIdentity.json
- <Package Folder>/files/####/fastclick.min.js
- <Package Folder>/files/####/guide.min.css
- <Package Folder>/files/####/guide.min.css.map
- <Package Folder>/files/####/header.min.css
- <Package Folder>/files/####/header.min.css.map
- <Package Folder>/files/####/header.min.js
- <Package Folder>/files/####/help.min.js
- <Package Folder>/files/####/hook.png
- <Package Folder>/files/####/icon_flush.png
- <Package Folder>/files/####/icon_permission_dialog_close.png
- <Package Folder>/files/####/icon_permission_dialog_remind.png
- <Package Folder>/files/####/icons.png
- <Package Folder>/files/####/image_indicator.png
- <Package Folder>/files/####/index.min.css
- <Package Folder>/files/####/index.min.css.map
- <Package Folder>/files/####/index.min.js
- <Package Folder>/files/####/index.min.js.map
- <Package Folder>/files/####/list.min.js
- <Package Folder>/files/####/secu.png
- <Package Folder>/files/####/signList.min.css
- <Package Folder>/files/####/signList.min.css.map
- <Package Folder>/files/####/signList.min.js
- <Package Folder>/files/####/taskList.min.css
- <Package Folder>/files/####/taskList.min.css.map
- <Package Folder>/files/####/taskList.min.js
- <Package Folder>/files/####/taskList.min.js.map
- <Package Folder>/files/####/topTask.png
- <Package Folder>/files/.imprint
- <Package Folder>/files/031.zip
- <Package Folder>/files/TDtcagent.db
- <Package Folder>/files/TDtcagent.db-journal
- <Package Folder>/files/classes.dex
- <Package Folder>/files/detail.html
- <Package Folder>/files/dynamic_sdk_4.5.2.jar.temp
- <Package Folder>/files/header.html
- <Package Folder>/files/help.html
- <Package Folder>/files/libjiagu.so
- <Package Folder>/files/libmeiridmhze.so
- <Package Folder>/files/prop.dat
- <Package Folder>/files/security_info
- <Package Folder>/files/signList.html
- <Package Folder>/files/taskList.html
- <Package Folder>/files/td.lock
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/shared_prefs/CE94557724F842149D690D0E8CBB1CBD.xml
- <Package Folder>/shared_prefs/OFFERSCONFIG1.xml
- <Package Folder>/shared_prefs/PREFERENCE_HULUTAN_CL.xml
- <Package Folder>/shared_prefs/TD_CHANNEL_ID.xml
- <Package Folder>/shared_prefs/pref_longtime.xml
- <Package Folder>/shared_prefs/pref_shorttime.xml
- <Package Folder>/shared_prefs/preference_daow.xml
- <Package Folder>/shared_prefs/preferences.xml
- <Package Folder>/shared_prefs/tdid.xml
- <Package Folder>/shared_prefs/umeng_feedback_conversations.xml
- <Package Folder>/shared_prefs/umeng_feedback_user_info.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <SD-Card>/.system/system.bat
- <SD-Card>/.system/system_config.bat
- <SD-Card>/.tcookieid
- <SD-Card>/Android/####/i42d45df023jnkdd93la483f9xGFKXI
- <SD-Card>/Android/####/s92TjjdfoP2n3o9dfji2l9s1olkjf0p
- <SD-Card>/Android/djaof.dll
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c type su
- getprop
- getprop ro.board.platform
- sh -c getprop > <Package Folder>/files/prop.dat
Загружает динамические библиотеки:
- Bugly
- libjiagu
- meiridmhzc
- tpnsSecurity
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
