Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.341.origin
Загружает из Интернета следующие детектируемые угрозы:
- Android.Backdoor.341.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) adc####.zdw####.com:80
- TCP(HTTP/1.1) c####.up####.zdw####.com:80
- TCP(HTTP/1.1) www.shahe####.com:80
- TCP(HTTP/1.1) yen.zdw####.com:80
- TCP(HTTP/1.1) m.fruitno####.com:6088
- TCP(HTTP/1.1) tag.zdw####.com:80
- TCP(HTTP/1.1) c####.s####.zdw####.com:80
- TCP(HTTP/1.1) co####.a####.a####.####.com:80
- TCP(HTTP/1.1) l####.zdw####.com:80
- TCP(HTTP/1.1) z####.zdw####.com:80
- TCP(HTTP/1.1) fest####.zdw####.com:80
- TCP(HTTP/1.1) s####.magicwi####.cn:80
- TCP(HTTP/1.1) reso####.msg.xi####.net:80
- TCP(HTTP/1.1) sms.zdw####.com:80
- TCP(HTTP/1.1) nex####.zdw####.com:80
- TCP(TLS/1.0) augus####.info:443
- TCP(TLS/1.0) p####.zdw####.com:443
- TCP(TLS/1.0) regi####.xm####.xi####.com:443
- TCP 4####.62.94.2:5222
Запросы DNS:
- adc####.zdw####.com
- augus####.info
- c####.s####.zdw####.com
- c####.up####.zdw####.com
- co####.in####.com
- crystal####.opt####.cn
- fest####.zdw####.com
- l####.zdw####.com
- loc.map.b####.com
- m.fruitno####.com
- m.justfor####.com
- network####.zdw####.com
- nex####.zdw####.com
- no####.zdw####.com
- p####.zdw####.com
- regi####.xm####.xi####.com
- reso####.msg.xi####.net
- s####.magicwi####.cn
- sms.zdw####.com
- tag.zdw####.com
- www.shahe####.com
- yen.zdw####.com
- z####.zdw####.com
Запросы HTTP GET:
- adc####.zdw####.com/ad/common?platform=####&sid=####&location=####&sys=#...
- adc####.zdw####.com/ad/person?uid=####&platform=####&sid=####&keywords=#...
- c####.up####.zdw####.com/en/6010000001?uuid=####&la=####&pm=####&sv=####...
- fest####.zdw####.com/holidays/get?platform=####&sid=####&last_modified=#...
- l####.zdw####.com/3/tag/guide/get?screen=####&platform=####&sid=####&cnt...
- m.fruitno####.com:6088/c/1510833294750
- nex####.zdw####.com/2/cards/?screen=####&platform=####&sid=####&cnt=####...
- reso####.msg.xi####.net/gslb/?ver=####&type=####&connpt=####&uuid=####&l...
- sms.zdw####.com/config/upload?platform=####&sid=####&last_modified=####&...
- sms.zdw####.com/regex/common?platform=####&sid=####&last_modified=####&s...
- sms.zdw####.com/regex/credit?platform=####&sid=####&last_modified=####&s...
- tag.zdw####.com/tag/get?platform=####&sid=####&last_modified=####&sys=##...
- www.shahe####.com/n/s_150
- yen.zdw####.com/c?position=####&screen=####&platform=####&sid=####&cnt=#...
- z####.zdw####.com/1/message/1001?pm=####&language=####&ver=####&uuid=###...
Запросы HTTP POST:
- adc####.zdw####.com/ad/imprconfig
- c####.s####.zdw####.com/
- c####.s####.zdw####.com/get_online_config
- c####.up####.zdw####.com/api
- co####.a####.a####.####.com/config-server/v1/config/secure.cfg
- m.fruitno####.com:6088/p/1510833295066
- m.fruitno####.com:6088/s/
- s####.magicwi####.cn/config/v2
- s####.magicwi####.cn/dp/dpls/v2
- s####.magicwi####.cn/marketing/v2
- s####.magicwi####.cn/tracking/v2
- s####.magicwi####.cn/ts
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/app_gozaws/5CF38F33593215E1E9FC507B6C86298D.dex
- <Package Folder>/app_gozaws/5CF38F33593215E1E9FC507B6C86298D.dex (deleted)
- <Package Folder>/app_gozaws/5CF38F33593215E1E9FC507B6C86298D.jar
- <Package Folder>/app_gozaws/5CF38F33593215E1E9FC507B6C86298D.jar.tmp
- <Package Folder>/cache/####/1882171649-1416920263
- <Package Folder>/cache/####/1982400134380072746
- <Package Folder>/cache/####/441618622227763443
- <Package Folder>/databases/beyondAppSDK.db-journal
- <Package Folder>/databases/com.im_6.0.3.db
- <Package Folder>/databases/com.im_6.0.3.db-journal
- <Package Folder>/databases/evernote_jobs.db-journal
- <Package Folder>/databases/i2wapi.db-journal
- <Package Folder>/databases/mwsdk_analytics.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/databases/zdclock.db-journal
- <Package Folder>/files/####/firll.dat
- <Package Folder>/files/####/ofl_location.db
- <Package Folder>/files/####/ofl_location.db-journal
- <Package Folder>/files/####/ofl_statistics.db
- <Package Folder>/files/####/ofl_statistics.db-journal
- <Package Folder>/files/1510833290442
- <Package Folder>/files/1510833304309
- <Package Folder>/files/<Package>;pushservice
- <Package Folder>/files/INSTALLATION
- <Package Folder>/files/fghgaa
- <Package Folder>/files/libcuid.so
- <Package Folder>/files/splash_config
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/shared_prefs/<Package>data_sdk_preferences.xml
- <Package Folder>/shared_prefs/<Package>session.xml
- <Package Folder>/shared_prefs/com.im.keyValueStore.aes_key_store.xml
- <Package Folder>/shared_prefs/com.im.keyValueStore.config_store.xml
- <Package Folder>/shared_prefs/com.im.keyValueStore.sdk_version_store.xml
- <Package Folder>/shared_prefs/com.im.keyValueStore.uid_store.xml
- <Package Folder>/shared_prefs/dcSharedPreferences.dat.xml
- <Package Folder>/shared_prefs/evernote_jobs.xml
- <Package Folder>/shared_prefs/local_field.xml
- <Package Folder>/shared_prefs/mipush.xml
- <Package Folder>/shared_prefs/mipush_account.xml
- <Package Folder>/shared_prefs/mipush_extra.xml
- <Package Folder>/shared_prefs/persistent_data.xml
- <Package Folder>/shared_prefs/pref_registered_pkg_names.xml
- <Package Folder>/shared_prefs/splash_pref.xml
- <Package Folder>/shared_prefs/zda_agent_online_setting_<Package>.xml
- <SD-Card>/.zdclock/####/2017-11-16
- <SD-Card>/.zdworks/####/channel.txt
- <SD-Card>/Android/####/.nomedia
- <SD-Card>/Android/####/adv
- <SD-Card>/Android/####/config
- <SD-Card>/Android/####/deviceId
- <SD-Card>/Android/####/master
- <SD-Card>/Android/####/master.lock
- <SD-Card>/Android/####/sys_install
- <SD-Card>/backups/####/.cuid
- <SD-Card>/backups/####/.cuid2
- <SD-Card>/baidu/####/ller.dat
- <SD-Card>/baidu/####/ls.db
- <SD-Card>/baidu/####/ls.db-journal
- <SD-Card>/baidu/####/yoh.dat
- <SD-Card>/baidu/####/yol.dat
- <SD-Card>/baidu/####/yom.dat
- <SD-Card>/test.0
Другие:
Запускает следующие shell-скрипты:
- /system/bin/ps
- getprop ro.build.version.emui
- sh <Package Folder>/lib/liba.so 1109 http://static.cuckoo.zdworks.com/?platform=0&sid=1001&sys=18&iid=0c3fe9a1-dba0-48a3-a101-329d5519d67c&imei=<IMEI>&aid=fe972356a9e02974&ct=0&pm=<System Property>&user_id=-1&language=en_US&uuid=<IMSI><IMEI>&oi=8&channel=6010000001&app_ver=4.9.612 com.android.browser
Загружает динамические библиотеки:
- locSDK6a
- zdclock
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- DES-CBC-PKCS5Padding
- RSA-ECB-nopadding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- DES-CBC-PKCS5Padding
- RSA
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Осуществляет доступ к информации о зарегистрированных на устройстве аккаунтах (Google, Facebook и тд.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
