Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.MobiDash.2.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ogr####.xyz:80
- TCP(HTTP/1.1) sdk.api.kaf####.com:80
- TCP(HTTP/1.1) uswild####.al####.com.####.net:80
- TCP(HTTP/1.1) ad.period-####.com:80
- TCP(HTTP/1.1) clinkad####.com:80
- TCP(HTTP/1.1) ad.c####.kaf####.com:80
- TCP(HTTP/1.1) net.ray####.com:80
- TCP(HTTP/1.1) duc####.b####.com:80
- TCP(HTTP/1.1) d19o643####.cloudf####.net:80
- TCP(HTTP/1.1) analy####.ray####.com:80
- TCP(HTTP/1.1) ad.ada####.kaf####.com:80
- TCP(HTTP/1.1) api.mo####.sdk.####.com:80
- TCP(HTTP/1.1) duapps-####.gsh####.com:80
- TCP(HTTP/1.1) c####.u.appco####.com:80
- TCP(HTTP/1.1) clk.tap####.com:80
- TCP(HTTP/1.1) set####.ray####.com:80
- TCP(HTTP/1.1) ad.api.kaf####.com:80
- TCP(TLS/1.0) lh3.googleu####.com:443
- TCP(TLS/1.0) e.crashly####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) ssl.google-####.com:443
- TCP(TLS/1.0) pag####.googles####.com:443
- TCP(TLS/1.0) clk.tap####.com:443
- TCP(TLS/1.0) sett####.crashly####.com:443
Запросы DNS:
- ad.ada####.kaf####.com
- ad.api.kaf####.com
- ad.c####.kaf####.com
- ad.period-####.com
- analy####.ray####.com
- api.mo####.sdk.####.com
- c####.u.appco####.com
- clinkad####.com
- clk.tap####.com
- d19o643####.cloudf####.net
- duc####.b####.com
- e.crashly####.com
- g####.t####.net
- lh3.googleu####.com
- net.ray####.com
- ogr####.xyz
- pag####.googles####.com
- s.c####.aliexp####.com
- sdk.api.kaf####.com
- set####.ray####.com
- sett####.crashly####.com
- ssl.google-####.com
- www.go####.com
Запросы HTTP GET:
- ad.ada####.kaf####.com/jr?p1=####&p2=####&p3=####&p8=####&p9=####&p12=##...
- ad.ada####.kaf####.com/jr?p1=30294&p2=974768&p3=11422&p8=1.44&p9=&p12=14...
- ad.c####.kaf####.com/v1/click?type=####&p1=####&p2=####&p3=####&p8=####&...
- ad.c####.kaf####.com/v1/sdk4/upload/imp?type=####&p1=####&p2=####&p3=###...
- ad.period-####.com/images/30Days/mdpi/icon.png
- ad.period-####.com/images/BLF/mdpi/cover.jpg
- ad.period-####.com/images/BLF/mdpi/icon.png
- ad.period-####.com/images/Butt/cover/en/mdpi/cover.jpg
- ad.period-####.com/images/Butt/mdpi/icon.png
- ad.period-####.com/images/NPC/mdpi/icon.png
- ad.period-####.com/images/homeworkout/mdpi/cover.jpg
- ad.period-####.com/images/homeworkout/mdpi/icon.png
- ad.period-####.com/images/loseweight/cover/en/mdpi/cover.jpg
- ad.period-####.com/images/loseweight/mdpi/icon.png
- ad.period-####.com/images/pedometer/mdpi/cover.jpg
- ad.period-####.com/images/pedometer/mdpi/icon.png
- ad.period-####.com/images/xmusic/cover/en/mdpi/cover.png
- ad.period-####.com/images/xmusic/mdpi/icon.png
- api.mo####.sdk.####.com/adunion/rtb/getInmobiAd?h=####&w=####&model=####...
- api.mo####.sdk.####.com/adunion/slot/getDlAd?h=####&w=####&model=####&ve...
- api.mo####.sdk.####.com/adunion/slot/getSrcPrio?h=####&w=####&model=####...
- c####.u.appco####.com/v1/click?oid=####&affid=####&tid=####&gaid=####&su...
- clinkad####.com/tracking?camp=####&pubid=####&sid=####&subpubid=####&gai...
- clk.tap####.com/aff_c?ver=####&tt_ls=####&offer_id=####&tt_appid=####&af...
- d19o643####.cloudf####.net/creatives/005/189/029_c807.jpg
- d19o643####.cloudf####.net/creatives/006/304/067_b43e.jpg
- duapps-####.gsh####.com/prod/upload/adunion/images/79f/178_178_543ec417a...
- duc####.b####.com/click/affClick?offer_id=####&aff_id=####&google_aid=##...
- net.ray####.com/openapi/ad/v3?app_id=####&unit_id=####&category=####&req...
- set####.ray####.com/appwall/setting?app_id=####&unit_id=####&sign=####&p...
- set####.ray####.com/setting?app_id=####&sign=####&platform=####&os_versi...
- uswild####.al####.com.####.net/app/taptica?sk=####&channel=####&dp=0a3a#...
- uswild####.al####.com.####.net/app/taptica_incent?sk=####&channel=####&d...
Запросы HTTP POST:
- ad.ada####.kaf####.com/v4/<Package>/aps.php
- ad.api.kaf####.com/adserver/v1/promote/ads/sdk/v4
- ad.period-####.com/instaget
- analy####.ray####.com/
- ogr####.xyz/
- sdk.api.kaf####.com/v4/<Package>/config.php
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.old_file_converted
- /data/data/####/4d87b76c2950dc8b43ad428046eb75025744ae28732b4c5....0.tmp
- /data/data/####/5A0D85130294-0001-082F-F74EA34AEDF3BeginSession.cls_temp
- /data/data/####/5A0D85130294-0001-082F-F74EA34AEDF3SessionApp.cls_temp
- /data/data/####/5A0D85130294-0001-082F-F74EA34AEDF3SessionDevice.cls_temp
- /data/data/####/5A0D85130294-0001-082F-F74EA34AEDF3SessionOS.cls_temp
- /data/data/####/5A0D85130294-0001-082F-F74EA34AEDF3SessionUser.cls_temp
- /data/data/####/5A0D8514039B-0001-0859-F74EA34AEDF3BeginSession.cls_temp
- /data/data/####/5A0D8514039B-0001-0859-F74EA34AEDF3SessionApp.cls_temp
- /data/data/####/5A0D8514039B-0001-0859-F74EA34AEDF3SessionDevice.cls_temp
- /data/data/####/5A0D8514039B-0001-0859-F74EA34AEDF3SessionOS.cls_temp
- /data/data/####/8355163467c59e90ec0de9df0692607fe85969e29ea58ce....0.tmp
- /data/data/####/GFxEVcWHn
- /data/data/####/Global.xml
- /data/data/####/ServerConfig.xml
- /data/data/####/TwitterAdvertisingInfoPreferences.xml
- /data/data/####/_toolbox_prefs.xml
- /data/data/####/ab72bed592ad2db2b7ee3139506737f9135d07881e3f895....0.tmp
- /data/data/####/afinal.db-journal
- /data/data/####/c516c42376e49879edc6dfa432aa419cfb9d4f54be8248d....0.tmp
- /data/data/####/com.crashlytics.prefs.xml
- /data/data/####/com.crashlytics.sdk.android.crashlytics-core;co...re.xml
- /data/data/####/com.crashlytics.sdk.android;answers;settings.xml
- /data/data/####/com.crashlytics.settings.json
- /data/data/####/com.google.android.gms.analytics.prefs.xml
- /data/data/####/com.popularapp.videodownloaderforinstagram-1.ap...71.zip
- /data/data/####/com.popularapp.videodownloaderforinstagram_preferences.xml
- /data/data/####/crashlytics-userlog-5A0D85130294-0001-082F-F74E...mp.tmp
- /data/data/####/du_ad_cache.db-journal
- /data/data/####/du_ad_parse.db-journal
- /data/data/####/du_ad_ts.db-journal
- /data/data/####/filedownloader.db-journal
- /data/data/####/gaClientId
- /data/data/####/google_analytics_v4.db-journal
- /data/data/####/initialization_marker
- /data/data/####/instaget.xml
- /data/data/####/io.fabric.sdk.android;fabric;a.a.a.a.m.xml
- /data/data/####/journal.tmp
- /data/data/####/mobi_ads-journal
- /data/data/####/mobi_device
- /data/data/####/mobi_sp_sdk.xml
- /data/data/####/mobvista.msdk.db-journal
- /data/data/####/mobvista.xml
- /data/data/####/multidex.version.xml
- /data/data/####/sa_28714462-17a6-4644-b1cc-26ef054865c5_1510835478337.tap
- /data/data/####/sa_539d3aa1-37d2-43ec-a769-ef057e19d2d3_1510835476964.tap
- /data/data/####/sa_8f8b6208-ba54-4782-bb2c-f87bcbbd1873_1510835522008.tap
- /data/data/####/sa_9705dc0e-ca82-4d0d-af6f-67bc2228731b_1510835475741.tap
- /data/data/####/session_analytics.tap
- /data/data/####/session_analytics.tap (deleted)
- /data/data/####/session_analytics.tap.tmp
- /data/data/####/share_date.xml
- /data/data/####/thirtyDayFit.xml
- /data/data/####/video_pref_def.xml
- /data/data/####/videodownloaderforinstagram.dat.jar
- /data/media/####/.nomedia
- /data/media/####/039ae0e9d7bc632aabb74d1dc25cca4a
- /data/media/####/3cd7b430f60ba4a19c397480c175cccb
- /data/media/####/3f73cfb303d76c2f74f8cd7437780fc5
- /data/media/####/53067b84ac27786409f4a700efc04287
- /data/media/####/7951908a0d3c9c1aa58ca48f2eeba518
- /data/media/####/82c3f2984600456c0515fe74bd089d74
- /data/media/####/b020e6e9a50b7cbbb93a55e99b6d8155
- /data/media/####/bae99e57d7172175d17dae1ca8b8136b
- /data/media/####/c674c4cf7abfada8d5d8dddb4ac8da5c
- /data/media/####/crash.log
- /data/media/####/d69d67f3facc4b5e0e3cc6a433d2afd1
- /data/media/####/e44e50e6042a5cdffa8dddf4fda29690
- /data/media/####/e752be07da2980bf68127ec9a8770200
- /data/media/####/eb78bea21bdeb4dfff2d71779f46b52d
- /data/media/####/f8e674e8981ce3609b8a022c2e42c36f
Другие:
Загружает динамические библиотеки:
- GFxEVcWHn
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
