Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.627.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) o####.b####.cn.####.com:80
- TCP(HTTP/1.1) mate####.me####.com:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) s####.m.me####.com:80
- TCP(HTTP/1.1) mvp.me####.com:80
- TCP(HTTP/1.1) f####.b0.upa####.com:80
- TCP(TLS/1.0) bcd.lk####.com:443
Запросы DNS:
- a####.u####.com
- bcd.lk####.com
- c####.xinme####.com
- cde.lk####.com
- feed####.u####.com
- mate####.me####.com
- mvp.me####.com
- o####.b####.cn
- oc.u####.com
- s####.m.me####.com
- upa####.xinme####.com
Запросы HTTP GET:
- f####.b0.upa####.com/wfs/2013-06/4bf18ee4bf9746518d20b56d13581f8a.zip
- f####.b0.upa####.com/wfs/2013-06/a8098dd6b7324e3685c3b561e5f75947.zip
- f####.b0.upa####.com/wfs/2013-06/fa8ea3ebd7574de38c5492ffd8b77644.zip
- f####.b0.upa####.com/wfs/2013-08/01ab35b75bb944e49ca28e9366a410ae.zip
- f####.b0.upa####.com/wfs/2013-08/078096aac41e432699074a75e65200f0.zip
- f####.b0.upa####.com/wfs/2013-08/198d927682754edcb57083e8b32b0a81.zip
- f####.b0.upa####.com/wfs/2014-01/7b1f60dacf614a569bd78209d73a678a.zip
- f####.b0.upa####.com/wfs/2014-05/maitiantiyulan.zip
- f####.b0.upa####.com/wfs/2014-05/manhuatiyulan.zip
- f####.b0.upa####.com/wfs/2014-05/qingyuanyulan.zip
- f####.b0.upa####.com/wfs/2014-05/qinxitiyulan.zip
- mate####.me####.com/bjjs/sdk/v171/ads_0.1.7.1.jar
- s####.m.me####.com/s?adspaceid=####&os=####&imei=####&imei_md5=####&imsi...
- s####.m.me####.com/s?switch=1?os=####&imei=####&imsi=####&mac=####&model...
- s####.m.me####.com/update?sdkv=####
Запросы HTTP POST:
- a####.u####.com/app_logs
- mvp.me####.com/t?type=####
- o####.b####.cn.####.com/8/find
- o####.b####.cn.####.com/8/init
- o####.b####.cn.####.com/8/secret
- oc.u####.com/check_config_update
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/cache/01ab35b75bb944e49ca28e9366a410ae.zip (deleted)
- <Package Folder>/cache/078096aac41e432699074a75e65200f0.zip (deleted)
- <Package Folder>/cache/09ee272eb8c99f67ee6dd82502f077155c534945
- <Package Folder>/cache/177252eb981ab37f3556294c5c1c88bf46370ab7.tmp
- <Package Folder>/cache/198d927682754edcb57083e8b32b0a81.zip (deleted)
- <Package Folder>/cache/1d6b9a4f491f1d3669902f1cc3bbb0884c275c63.tmp
- <Package Folder>/cache/21ba115e535ebc901413e4148e86b02ce06b0219.tmp
- <Package Folder>/cache/37a8f456fa18b108db078cf673cd1496ccc9486d
- <Package Folder>/cache/3b439a6bf9341b3391a659786080524f5c391f75
- <Package Folder>/cache/44b04a8c5eb05256669d3af71965226a0229efa8.tmp
- <Package Folder>/cache/45219cda79f55751a031300bbef089771d936bad.tmp
- <Package Folder>/cache/491d0ea128c0aa53c3bfa6091dd882f828b33c6d.tmp
- <Package Folder>/cache/4bf18ee4bf9746518d20b56d13581f8a.zip (deleted)
- <Package Folder>/cache/53d4d8a78f2baaf460cf791e6017dea37145470e.tmp
- <Package Folder>/cache/589382670af806354fd4ad1fbe35470ff8eaa792.tmp
- <Package Folder>/cache/58e9b8c7ef7145603f8b25ed3492cf8a8684d395.tmp
- <Package Folder>/cache/61285990af181afe5738dda44351f3a2ceb8fbe3.tmp
- <Package Folder>/cache/69d98d1618e3e2a51563af6840ca68f4be65d037
- <Package Folder>/cache/6b8599c74e714a81776c7f00cf88661eabad1fcc.tmp
- <Package Folder>/cache/7b1f60dacf614a569bd78209d73a678a.zip (deleted)
- <Package Folder>/cache/80718985ea60c88f3977c042c4cd6d00611d1a9a.tmp
- <Package Folder>/cache/84d9df34269d60f8085939c7723555a83f7c4672
- <Package Folder>/cache/89fe611b4a7e78179f8a9c060fee70e1a8cdf834.tmp
- <Package Folder>/cache/90c8daaaa63b353c5a5f7c58ed1ac162698882ee
- <Package Folder>/cache/a212e27cc421449e3b2065bfc79ab525131c49dd
- <Package Folder>/cache/a8098dd6b7324e3685c3b561e5f75947.zip (deleted)
- <Package Folder>/cache/b7db430d01afa500f9d64f94977b58229024bf6a.tmp
- <Package Folder>/cache/cb8470d7b9bc537aaddc577077dcc1726b8a8bbe.tmp
- <Package Folder>/cache/d2a37e24c6085d74111f98ed20043f1a92bb5d8f
- <Package Folder>/cache/d5f6930374bd96882bac034bb9ed8d133e372a6c.tmp
- <Package Folder>/cache/d8622cfe25758057da4ef1ab98135f9d6060fa18
- <Package Folder>/cache/e5519c8016a361d716fa041f32a850f3c03fb622.tmp
- <Package Folder>/cache/e6845830ba2deb672b949158323a0d43416ed578.tmp
- <Package Folder>/cache/e71ad860717f7a3a19663dc28eb02944f086e3c1.tmp
- <Package Folder>/cache/ea8f1627a19d950c1697764b1522c64af1b7d337.tmp
- <Package Folder>/cache/ef81d0da65d793e64c4005cefbdff732bfc91569
- <Package Folder>/cache/f2ba6a4f51363b13d3ae5c62b300d69f3f4ea3fe.tmp
- <Package Folder>/cache/f37fba17ca11fbe0fe02171dc98ecda033f37703
- <Package Folder>/cache/f65098344fee1e4d5414019260dd4824da6e4e98.tmp
- <Package Folder>/cache/fa8ea3ebd7574de38c5492ffd8b77644.zip (deleted)
- <Package Folder>/cache/fd5b8f0bb37245e6681dba4a9fd869b762607d12.tmp
- <Package Folder>/cache/maitiantiyulan.zip (deleted)
- <Package Folder>/cache/manhuatiyulan.zip (deleted)
- <Package Folder>/cache/qingyuanyulan.zip (deleted)
- <Package Folder>/cache/qinxitiyulan.zip (deleted)
- <Package Folder>/databases/font.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/####/dynamic.jar
- <Package Folder>/files/####/n.jar
- <Package Folder>/files/773325681.jar
- <Package Folder>/files/774061631.jar
- <Package Folder>/files/heart99154018.jar
- <Package Folder>/files/heart99154034.jar
- <Package Folder>/files/mv_crash.log
- <Package Folder>/files/mv_swich.cfg
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/shared_prefs/bmob_sp.xml
- <Package Folder>/shared_prefs/mobclick_agent_header_<Package>.xml
- <Package Folder>/shared_prefs/mobclick_agent_online_setting_<Package>.xml
- <Package Folder>/shared_prefs/mobclick_agent_state_<Package>.xml
- <Package Folder>/shared_prefs/umeng_feedback_conversations.xml
- <Package Folder>/shared_prefs/ver_info.xml
- <SD-Card>/2446589b8acca82756da150bbbe4e23f/####/data.db-journal
- <SD-Card>/2446589b8acca82756da150bbbe4e23f/host
Другие:
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DES
- DES-ECB-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- DES
- DES-ECB-NoPadding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
