Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.589.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) wap####.0427####.com:8090
- TCP(HTTP/1.1) app.jizh####.com:8090
- TCP(HTTP/1.1) cdn.img.fly####.####.com:80
- TCP(HTTP/1.1) ad.jizh####.com:8090
- TCP(HTTP/1.1) coy.aob####.com:8099
- TCP(TLS/1.0) sh.wagbr####.alibaba####.com:443
- TCP(TLS/1.0) w####.che####.top:443
- TCP(TLS/1.0) www.shi####.com:443
Запросы DNS:
- ad.jizh####.com
- app.jizh####.com
- cdn.app.zad####.cn
- cdn.img.fly####.top
- coy.aob####.com
- log.u####.com
- s####.u####.com
- w####.che####.top
- wap####.0427####.com
- wap.jizh####.com
- www.shi####.com
Запросы HTTP GET:
- ad.jizh####.com:8090/appad/6hysad/index.json
- ad.jizh####.com:8090/d/file/appad/cpzqad/2017-04-30/c0c19cd89bdb3e127e43...
- ad.jizh####.com:8090/d/file/appad/lhdqad/2017-04-30/4261a2a31fb3f97e864e...
- ad.jizh####.com:8090/d/file/appad/spkjad/2018-01-21/0c0c5d3c83bde2a05af4...
- app.jizh####.com:8090/kjbm.json
- app.jizh####.com:8090/kjbm.xml
- cdn.img.fly####.####.com/upload/201708/4/img/20170804163317464.png
- cdn.img.fly####.####.com/upload/201802/24/img/20180224104846434.png
- cdn.img.fly####.####.com/upload/201802/26/img/20180226100535809.png
- cdn.img.fly####.####.com/upload/201803/21/app/20180321160440050.apk
- cdn.img.fly####.####.com/upload/201803/21/img/20180321160141913.png
- cdn.img.fly####.####.com/upload/201803/21/img/20180321160433721.png
- cdn.img.fly####.####.com/upload/201803/6/img/20180306153120251.png
- cdn.img.fly####.####.com/upload/201803/7/img/20180307171834691.png
- coy.aob####.com:8099/data.json
- wap####.0427####.com:8090//images/uspic/u2.jpg
- wap####.0427####.com:8090//images/uspic/u6.gif
- wap####.0427####.com:8090/e/extend/json/sz.php?enews=####
- wap####.0427####.com:8090/json/gmsg.json
- wap####.0427####.com:8090/json/list/bbs.json
Запросы HTTP POST:
- wap####.0427####.com:8090/e/extend/json/json.php
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/010f67929ccfa631a42cbb09f7edcc518063960203765f4....0.tmp
- /data/data/####/0431c41bd1c97fe8fb7d21d1e536110ba79e34557298ae9....0.tmp
- /data/data/####/1510835496911.log
- /data/data/####/1510835496911.log.bak
- /data/data/####/364316cb1c6f1eb500e27f60490c63b753a3bc6914211d9....0.tmp
- /data/data/####/3b4661af72ca86617fa6680b3d06da7530b2260dafb9a8d....0.tmp
- /data/data/####/5ab9ec8c1c4ae7f4954ff6f13ab89c1751c1ce84d0029f5....0.tmp
- /data/data/####/SharedPreferences.xml
- /data/data/####/a.xml
- /data/data/####/ar.xml
- /data/data/####/ar.xml.bak
- /data/data/####/as.jar
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cfb45bae745ce02661941f068a92a5ae98e84527b13986c....0.tmp
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/dsi.xml
- /data/data/####/gq.jar
- /data/data/####/journal.tmp
- /data/data/####/mobclick_agent_cached_com.lhliuheyunshi.lhysbd2
- /data/data/####/sv.xml (deleted)
- /data/data/####/t_u.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_socialize.xml
- /data/data/####/umeng_socialize.xml (deleted)
- /data/data/####/umeng_socialize.xml.bak
- /data/data/####/umeng_socialize.xml.bak (deleted)
- /data/media/####/.nomedia
- /data/media/####/0361bc33304b7
- /data/media/####/094a00c6c8c96
- /data/media/####/2d83458c6505f
- /data/media/####/42b115d18408f
- /data/media/####/44bc5c90bec64
- /data/media/####/9e565e8538a66
- /data/media/####/b.tmp
- /data/media/####/b8ac660157a9e
Другие:
Загружает динамические библиотеки:
- RSSupportIO
- jpush218
- librsjni
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-NoPadding
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
