Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.341.origin
Загружает из Интернета следующие детектируемые угрозы:
- Android.Backdoor.341.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.0) tcms-a####.wan####.ta####.com:443
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) wb.110.ta####.com:80
- TCP(HTTP/1.1) zhg.ali####.com:80
- TCP(HTTP/1.1) m.fruitno####.com:6088
- TCP(HTTP/1.1) a####.m.ta####.com:80
- TCP(HTTP/1.1) 60.2####.114.66:9001
- TCP(HTTP/1.1) www.tala####.cn:80
- TCP(HTTP/1.1) hotp####.wan####.ta####.com:80
- TCP(TLS/1.0) co####.ad####.cn:443
- TCP 2####.204.101.107:80
Запросы DNS:
- a####.m.ta####.com
- a####.u####.com
- co####.ad####.cn
- hotp####.wan####.ta####.com
- m.fruitno####.com
- m.justfor####.com
- tcms-a####.wan####.ta####.com
- wb.110.ta####.com
- www.tala####.cn
- y####.al####.com
Запросы HTTP GET:
- hotp####.wan####.ta####.com/patch?version=####&patchver=####&platform=##...
- m.fruitno####.com:6088/c/1510835327200
- tcms-a####.wan####.ta####.com:443/imlogingw/tcp60login?devid=####&ver=####
- www.tala####.cn/n/s?v####
- zhg.ali####.com/m/um.htm?c={"ser####
Запросы HTTP POST:
- a####.m.ta####.com/rest/gc?dd=####&nsgs=####&ak=####&av=####&c=####&v=##...
- a####.m.ta####.com/rest/sur?ak=####&av=####&c=####&v=####&s=####&d=####&...
- a####.u####.com/app_logs
- m.fruitno####.com:6088/p/1510835328264
- m.fruitno####.com:6088/s/
- wb.110.ta####.com/api/update.do
- zhg.ali####.com/saveWb.json
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/app_weliyo/8722982F4F8EE3997FB412B523D1F1BD.jar.tmp
- <Package Folder>/cache/####/<Package>_2083
- <Package Folder>/cache/####/<Package>_TcmsService_2123
- <Package Folder>/code_cache/####/<Package>-1.apk.classes1567683029.zip
- <Package Folder>/databases/cc.db
- <Package Folder>/databases/cc.db-journal
- <Package Folder>/databases/download_file.db-journal
- <Package Folder>/databases/ua.db
- <Package Folder>/databases/ua.db-journal
- <Package Folder>/files/####/exchangeIdentity.json
- <Package Folder>/files/.imprint
- <Package Folder>/files/0a231bd8575dcf72.txt
- <Package Folder>/files/1d77ea041509fe06.lock
- <Package Folder>/files/49814c4f5ac2f2f9.lock
- <Package Folder>/files/amwbsa
- <Package Folder>/files/exid.dat
- <Package Folder>/files/libexec.so
- <Package Folder>/files/libsecuritysdkx-3.1.27.so.tmp
- <Package Folder>/files/sp.lock
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/shared_prefs/<Package>.xml
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/shared_prefs/Alvin2.xml
- <Package Folder>/shared_prefs/ContextData.xml
- <Package Folder>/shared_prefs/SGMANAGER_DATA.xml
- <Package Folder>/shared_prefs/UTCommon.xml
- <Package Folder>/shared_prefs/UTMCConf-1369071460.xml
- <Package Folder>/shared_prefs/UTMCLog-1369071460.xml
- <Package Folder>/shared_prefs/device_id.xml.xml
- <Package Folder>/shared_prefs/multidex.version.xml
- <Package Folder>/shared_prefs/tcms_setting_sp.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/ywAccount.xml
- <SD-Card>/.DataStorage/ContextData.xml
- <SD-Card>/.UTSystemConfig/####/Alvin2.xml
- <SD-Card>/.com.taobao.dp/6c709c11d2d46a7b
- <SD-Card>/.com.taobao.dp/dd7893586a493dc3
- <SD-Card>/<Package>/####/2_20171116_r
- <SD-Card>/Android/####/adv
- <SD-Card>/Android/####/config
- <SD-Card>/Android/####/deviceId
- <SD-Card>/Android/####/master
- <SD-Card>/Android/####/master.lock
- <SD-Card>/Android/####/sys_install
Другие:
Запускает следующие shell-скрипты:
- cat /proc/cpuinfo | grep Serial
- getprop ro.product.cpu.abi
- ls -l /system/xbin/su
Загружает динамические библиотеки:
- inet.2.0
- libexec
- securitysdk-3.1
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
