Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.155.origin
- Android.Triada.178
- Android.Triada.248.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 1####.75.30.57:10001
- TCP(HTTP/1.1) 1####.59.40.34:19000
- TCP(HTTP/1.1) img.ace####.com:80
- TCP(HTTP/1.1) api.var####.com:80
- TCP(HTTP/1.1) loc.map.b####.com:80
Запросы DNS:
- api.var####.com
- c.jinqia####.com
- h5.tt-hong####.com
- img.ace####.com
- l.ace####.com
- loc.map.b####.com
- www.huangda####.com
Запросы HTTP GET:
- img.ace####.com/ando-res/ads/23/15/274631f7-b216-46c6-8c49-e64bfc112438/...
- img.ace####.com/ando-res/ads/30/14/f15541de-b7bd-4ff9-97fb-9e6cc9e4e044/...
- img.ace####.com/ando-res/m/s3KOUSTUNwqwJOgW89Tsl-Qlaroq07gDVNfYRzW-w*Av*...
Запросы HTTP POST:
- api.var####.com/ando/v1/x/ap?app_id=####&r=####
- api.var####.com/ando/v1/x/lv?app_id=####&r=####
- api.var####.com/ando/v1/x/qa?app_id=####&r=####
- api.var####.com/ando/x/liv?app_id=f3208725-7012-4a02-b200-5313e98d60a0&r...
- loc.map.b####.com/sdk.php
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/1yI6XyVWVq-OAHvck-2BuQ==.new
- /data/data/####/2AqVnGCCWWD-8lk1.zip
- /data/data/####/4DCNE4S7x3sjoOdU.new
- /data/data/####/4a524084-4127-4ec6-bb05-7c3a1304152c.pic.temp
- /data/data/####/4b48a081-3501-4852-91f3-bc2c87d7c6f0.pic.temp
- /data/data/####/8fnaAImna-2ANE4aj72-dTxtsOtBewZMvsnQTkgDdxE=.new
- /data/data/####/AB26uPlp-xbpnycoHNpR2TtCVUrBvIRE.new
- /data/data/####/EOZTzhVG.jar
- /data/data/####/FviQmt45sAyBfgoriQqQ0KONGWc2x47V.new
- /data/data/####/LTrr3pw1e4KPh3nT-Ngve_teEVo=.new
- /data/data/####/OZtb6IgG7Kr8eVMdVTWAXcfZB8k=.new
- /data/data/####/PRCvZ80CvM7yAlmRFMC8nHjEib73xnZ6.new
- /data/data/####/RBdFRxAmeb3z17nEFla6jNd6_2cbDPExkJMWcw==.new
- /data/data/####/WwX6_aFUljBY0EpGJQCC12cDTm2uFIg_.new
- /data/data/####/XUu3WkpDRC_vHTQ39pK9VqSDO4s7wApGoC_nJy4UEl8=.new
- /data/data/####/Yb0cLL2f-TSf3JXTZbgvHg==.new
- /data/data/####/Yp5dphpdez2p0AhD33b8hbTMkIw=
- /data/data/####/Z-u_8O2zf9fDv57i79Y6w9ZX9HQ=.new
- /data/data/####/aBzWx2jfRub0_p-q0L84Uheoc4O6onLh.new
- /data/data/####/cUjOLI_gqhUYQWyDgwVuCA==.new
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/dIKCbHMRc7DIRCbB
- /data/data/####/d_nQCu1BLc4b7zLkyhAc3QE6nZ6F7ciUgACx8at_WtA=.new
- /data/data/####/data.dat.tmp
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/eiUTTC5gj1hs6OXI4RNInR5YIM60Ti_n_6LqqQHsJhE1Uoae_
- /data/data/####/eiUTTC5gj1hs6OXI4RNInR5YIM60Ti_n_6LqqQHsJhE1Uoae_-journal
- /data/data/####/eiUTTC5gj1hs6OXI4RNInR5YIM60Ti_n_8wLJKW7C0DOzNX...ournal
- /data/data/####/eiUTTC5gj1hs6OXI4RNInR5YIM60Ti_n_8wLJKW7C0DOzNX8JwP_K2A==
- /data/data/####/eiUTTC5gj1hs6OXI4RNInR5YIM60Ti_n_SanYzfUqMWs=-journal
- /data/data/####/eiUTTC5gj1hs6OXI4RNInR5YIM60Ti_n_TYeCPLfaJEj0sC...Tn8sE=
- /data/data/####/eiUTTC5gj1hs6OXI4RNInR5YIM60Ti_n_TYeCPLfaJEj0sC...ournal
- /data/data/####/eiUTTC5gj1hs6OXI4RNInR5YIM60Ti_n_kFOhbsBYkxHOnY...ournal
- /data/data/####/eiUTTC5gj1hs6OXI4RNInR5YIM60Ti_n_kFOhbsBYkxHOnYtTkyDV3Q==
- /data/data/####/f1e691f1-be49-4229-88c4-6358d9964cca.pic
- /data/data/####/fc723057-6534-4790-8430-6cfa81ee2524.pic
- /data/data/####/gVRH7HW2Lx1fRzap
- /data/data/####/index
- /data/data/####/jDczgoghTNX3EsrSEAK9bF9M83k=.new
- /data/data/####/lcmigPu3-pGXnM7gfZaZZ7LKHxiXemOP.new
- /data/data/####/libus.so
- /data/data/####/pbLOMt-B3oGzB_sTEOQsMA7LhYUeuT3Wsye_xQ==.new
- /data/data/####/qDPwzhX-n7cnHMs1cQm1GdksHis=.new
- /data/data/####/runner_info.prop.new
- /data/data/####/s9mAIQ0oFgFurFKCKAiBEZ3gYvNHvXzYjGBphg==.new
- /data/data/####/sHkA8RylxCVTRGwiFLJToFL_J8IsApSN.new
- /data/data/####/sbcnua_f.zip
- /data/data/####/umeng_general_config.xml
- /data/data/####/w-DRhyGp_tIXkRIa-XRioXYBXDBWDeoi.new
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/xJLWzr60ki4RY7KmTQ1fuw==
- /data/data/####/yAIwovi4FOsTdJjI8axfEmzrXH0h7fXa0acJkUPA-Xo=.new
- /data/data/####/zzconfig.xml
- /data/media/####/.uunique.new
- /data/media/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
- /data/media/####/82e81484-ed93-4751-b466-244158397856.res
- /data/media/####/854dc081-9842-4139-90fc-7ffb71a3a189.res
- /data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
- /data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
- /data/media/####/MP8MtaBuguN9jnuSwtN1kQ==
- /data/media/####/channel_conf
- /data/media/####/channel_conf1
- /data/media/####/qshp_3002_2206.zip
- /data/media/####/r_pkDgN4OhnkSa0D
- /data/media/####/tw
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/code-2920403/dIKCbHMRc7DIRCbB -p <Package> -c com.hoxq.lpve.uwisuq.a.a.c.b -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
- sh <Package Folder>/code-2920403/dIKCbHMRc7DIRCbB -p <Package> -c com.hoxq.lpve.uwisuq.a.a.c.b -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
Загружает динамические библиотеки:
- stnes
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- DES
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
