Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.691.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) 88####.net:88
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) int.d####.s####.####.cn:80
- TCP(HTTP/1.1) cgi.con####.qq.com:80
- TCP(HTTP/1.1) p4####.b0.upa####.com:80
Запросы DNS:
- 88####.net
- a####.u####.com
- cgi.con####.qq.com
- fx.ho####.com
- int.d####.s####.####.cn
- oc.u####.co
- oc.u####.com
- p4####.b0.upa####.com
Запросы HTTP GET:
- 88####.net:88/game/cof.do?k=####
- cgi.con####.qq.com/qqconnectopen/openapi/policy_conf?sdkv=####&appid=###...
- int.d####.s####.####.cn/iplookup/iplookup.php?format=####
- p4####.b0.upa####.com/web/ng/201611/107/8490V28o7.apk
- p4####.b0.upa####.com/web/ng/201611/107/c/icon.png
- p4####.b0.upa####.com/web/ng/201611/107/c/pic0.jpg
- p4####.b0.upa####.com/web/ng/201702/139/c/icon.png
- p4####.b0.upa####.com/web/ng/201702/139/c/pic0.jpeg
- p4####.b0.upa####.com/web/ng/201708/396/c/icon.png
- p4####.b0.upa####.com/web/ng/201708/396/c/pic0.jpg
- p4####.b0.upa####.com/web/ng/201708/396/xinqqXqOYD.apk
- p4####.b0.upa####.com/web/ng/201710/484/c/icon.png
- p4####.b0.upa####.com/web/ng/201710/484/c/pic0.jpg
- p4####.b0.upa####.com/web/ng/201710/484/skzsCa4yg.apk
Запросы HTTP POST:
- 88####.net:88/game/centerbanner2.do?ver=####
- 88####.net:88/game/open.do
- 88####.net:88/game/start.do?ver=####
- a####.u####.com/app_logs
- oc.u####.com/check_config_update
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.cache/classes.dex
- <Package Folder>/.cache/classes.dve
- <Package Folder>/.cache/classes.jar
- <Package Folder>/.edata
- <Package Folder>/cache/.jar
- <Package Folder>/com.secneo.tmp2023
- <Package Folder>/com.secneo.tmp2063
- <Package Folder>/databases/tencent_analysis.db-journal
- <Package Folder>/databases/twsdk.db
- <Package Folder>/databases/twsdk.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/.imprint
- <Package Folder>/files/com.tencent.open.config.json.1102907841
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/shared_prefs/com.ggeye.faxing.Page_Index.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/userData.xml
- <Package Folder>/shared_prefs/userDatas.xml
- <SD-Card>/ImgCach/39d0905aac7640878ead9cc97790f4a4.cach
- <SD-Card>/ImgCach/3bfb14ed7db919c21b01bcaf181906a6.cach
- <SD-Card>/ImgCach/79c8b8eb75dc27a0f4a46c16da864da0.cach
- <SD-Card>/ImgCach/940d360babbdb10bcf942a17e6297ac6.cach
- <SD-Card>/ImgCach/c42fc83dcb1b0335a09dbc2c8d64171e.cach
- <SD-Card>/ImgCach/ca5368230a00306e5152b22ff01e6310.cach
- <SD-Card>/ImgCach/d7db8497decf577ca831b039dabf735a.cach
- <SD-Card>/ImgCach/ef1444c5082a3816055fb7679259f13e.cach
- <SD-Card>/Tencent/####/1.app.log
- <SD-Card>/faxing/####/data.db
- <SD-Card>/faxing/####/data.db (deleted)
- <SD-Card>/faxing/####/data.db-journal
- <SD-Card>/tmp/####/a6f56329e2d81a66e15658a106f10fea.sds
- <SD-Card>/tmp/####/ad6f0c9e97696b18934a4b0b58f7f339.sds
- <SD-Card>/tmp/####/b5cd1071639018f93a6c3633e2134572.sds
Другие:
Запускает следующие shell-скрипты:
- chmod 777 /storage/emulated/0/tmp/<Package>/a6f56329e2d81a66e15658a106f10fea.sds
- chmod 777 /storage/emulated/0/tmp/<Package>/ad6f0c9e97696b18934a4b0b58f7f339.sds
- chmod 777 /storage/emulated/0/tmp/<Package>/b5cd1071639018f93a6c3633e2134572.sds
Загружает динамические библиотеки:
- SecShell
Использует следующие алгоритмы для расшифровки данных:
- DES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
