Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.657.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ga####.lotu####.com:80
- TCP(HTTP/1.1) sdk.ain####.com:18083
- TCP(HTTP/1.1) l####.oss-cn-####.aliy####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) n####.hatch####.com:8080
- TCP(HTTP/1.1) d####.c####.l####.####.com:80
- TCP(HTTP/1.1) ga####.lotu####.com:88
- TCP(HTTP/1.1) sdk.ain####.com:80
- TCP(TLS/1.0) owe.joy-r####.com:9050
Запросы DNS:
- and####.b####.qq.com
- apr.dj####.com
- cdn.joy-r####.com
- fds.ain####.com
- ga####.lotu####.com
- l####.oss-cn-####.aliy####.com
- mt####.go####.com
- n####.hatch####.com
- on####.lotu####.com
- owe.joy-r####.com
- pic.ni-####.com
- sdk.ain####.com
- sdk.dj####.com
Запросы HTTP GET:
- d####.c####.l####.####.com/cfd2905d-ce1d-4a08-ab2f-2fd691800951bdco_20024
- l####.oss-cn-####.aliy####.com/ssssssssssss.ttf
- n####.hatch####.com:8080/adv_platform/getJarVersion/bozhang/23/cn
- sdk.ain####.com/advert/M00/00/00/wJppgllWIh2AE37sAJvjHfs-luk989.apk
- sdk.ain####.com/advs/clickUrl?msg=####
- sdk.ain####.com/advs/noticeUrl?msg=####
- sdk.ain####.com:18083//advimage//1706301817527642.jpg
- sdk.ain####.com:18083//advimage//1706301819071666.jpg
- sdk.ain####.com:18083//advimage//1706301821555077.jpg
- sdk.ain####.com:18083//advimage//1707281054128855.jpg
- sdk.ain####.com:18083//advimage//1707281057305739.jpg
- sdk.ain####.com:18083//advimage//1707281059586967.jpg
- sdk.ain####.com:18083//advimage//1710310924518527.jpg
- sdk.ain####.com:18083//advimage//1710310925369699.jpg
- sdk.ain####.com:18083//advimage//1710310938172487.jpg
- sdk.ain####.com:18083//advimage//1710311349368839.png
Запросы HTTP POST:
- and####.b####.qq.com/rqd/async?aid=####
- ga####.lotu####.com/?st=####&sv=####&tm=####&sid=Ijc####&apn=####&ct=###...
- ga####.lotu####.com:88/?mid=####&st=####&sv=####&tm=####&sid=Ijc####&apn...
- sdk.ain####.com/router
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/app_crashrecord/1004
- <Package Folder>/cache/####/c726e7c1a95eb4251ecf3f3c61784124adb....0.tmp
- <Package Folder>/cache/####/journal.tmp
- <Package Folder>/databases/adinapp.db
- <Package Folder>/databases/adinapp.db-journal
- <Package Folder>/databases/advs.db
- <Package Folder>/databases/advs.db-journal
- <Package Folder>/databases/bugly_db_-journal
- <Package Folder>/databases/download.db
- <Package Folder>/databases/download.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/3018798.jar
- <Package Folder>/files/3323003.jar
- <Package Folder>/files/3323003.ttf
- <Package Folder>/files/ads2017
- <Package Folder>/files/bdco
- <Package Folder>/files/bdco.cf
- <Package Folder>/files/comcopapp
- <Package Folder>/files/local_crash_lock
- <Package Folder>/files/lotuseed.apps
- <Package Folder>/files/lotuseed.lock
- <Package Folder>/files/lotuseed.s
- <Package Folder>/files/lotuseed.task
- <Package Folder>/files/security_info
- <Package Folder>/files/ssssssssssss.temp (deleted)
- <Package Folder>/shared_prefs/USE_AGENT.xml
- <Package Folder>/shared_prefs/com.cop.sdk.sdk.xml
- <Package Folder>/shared_prefs/crashrecord.xml
- <Package Folder>/shared_prefs/ljtq.xml
- <Package Folder>/shared_prefs/lotuseed_global.xml
- <Package Folder>/shared_prefs/lotuseed_main.xml
- <SD-Card>/.advs/.uuid
- <SD-Card>/.system/lotuseed.devid
- <SD-Card>/BIRDDOWNLOAD/####/YvscMPs.xml
- <SD-Card>/BIRDDOWNLOAD/####/webinfo.xml
- <SD-Card>/cache.<Package>/####/.KEY_ADSYS_APP_DATA
- <SD-Card>/cache.<Package>/####/.KEY_ADSYS_DATA
- <SD-Card>/cache.<Package>/####/059a6fd5c7ad14177921dc5fc4b9149b.apk
- <SD-Card>/cache.<Package>/####/059a6fd5c7ad14177921dc5fc4b9149b.tmp
- <SD-Card>/cache.<Package>/####/1706301817527642.jpg
- <SD-Card>/cache.<Package>/####/1706301819071666.jpg
- <SD-Card>/cache.<Package>/####/1706301821555077.jpg
- <SD-Card>/cache.<Package>/####/1707281054128855.jpg
- <SD-Card>/cache.<Package>/####/1707281057305739.jpg
- <SD-Card>/cache.<Package>/####/1707281059586967.jpg
- <SD-Card>/cache.<Package>/####/1710310924518527.jpg
- <SD-Card>/cache.<Package>/####/1710310925369699.jpg
- <SD-Card>/cache.<Package>/####/1710310938172487.jpg
- <SD-Card>/cache.<Package>/####/1710311349368839.png
- <SD-Card>/comcopapp
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop
- /system/bin/sh -c type su
- getprop
- ls -l /system/bin/su
- ps
Загружает динамические библиотеки:
- Bugly
Использует следующие алгоритмы для шифрования данных:
- AES-GCM-NoPadding
- DES-ECB-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-GCM-NoPadding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
