Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.MobiDash.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ya####.online:80
- TCP(HTTP/1.1) photola####.pho.to:80
- TCP(HTTP/1.1) ba####.ws.pho.to:80
- TCP(HTTP/1.1) d3kk92h####.cloudf####.net:80
- TCP(HTTP/1.1) sto####.ws.pho.to:80
- TCP(HTTP/1.1) c####.ws.pho.to:80
- TCP(HTTP/1.1) t####.ws.pho.to:80
- TCP(TLS/1.0) lh6.googleu####.com:443
- TCP(TLS/1.0) api.face####.com:443
- TCP(TLS/1.0) e.crashly####.com:443
- TCP(TLS/1.0) f####.gst####.com:443
- TCP(TLS/1.0) f####.google####.com:443
- TCP(TLS/1.0) 1####.217.17.110:443
- TCP(TLS/1.0) sett####.crashly####.com:443
- TCP(TLS/1.0) ssl.google-####.com:443
- TCP(TLS/1.0) pag####.googlea####.com:443
- TCP(TLS/1.0) googl####.g.doublec####.net:443
- TCP(TLS/1.0) pag####.googles####.com:443
- TCP(TLS/1.0) tpc.googles####.com:443
Запросы DNS:
- ba####.ws.pho.to
- c####.ws.pho.to
- d3kk92h####.cloudf####.net
- e.crashly####.com
- f####.google####.com
- f####.gst####.com
- g####.face####.com
- googl####.g.doublec####.net
- lh3.googleu####.com
- lh5.googleu####.com
- lh6.googleu####.com
- pag####.googlea####.com
- pag####.googles####.com
- photola####.pho.to
- sett####.crashly####.com
- ssl.google-####.com
- sto####.ws.pho.to
- t####.ws.pho.to
- tpc.googles####.com
- ya####.online
Запросы HTTP GET:
- ba####.ws.pho.to/android/photolab/banner?&country=####&lang=####&appId=#...
- ba####.ws.pho.to/android/photolab/on-launch-banner?&country=####&lang=##...
- ba####.ws.pho.to/android/photolab/share-motivator?&country=####&lang=###...
- c####.ws.pho.to/androidphotolab/conf.json?&country=####&lang=####&appId=...
- d3kk92h####.cloudf####.net/a/t/default/ic_bottom_categories.png
- d3kk92h####.cloudf####.net/a/t/default/ic_bottom_inspiration.png
- d3kk92h####.cloudf####.net/a/t/default/ic_bottom_popular.png
- d3kk92h####.cloudf####.net/a/t/default/ic_bottom_profile.png
- photola####.pho.to/api/v1/feed/best?country=####&lang=####&appId=####&ap...
- photola####.pho.to/api/v1/feed/trending?country=####&lang=####&appId=###...
- photola####.pho.to/api/v1/feed/trending?offset_id=####&country=####&lang...
- photola####.pho.to/api/v1/feed?country=####&lang=####&appId=####&app_ver...
- photola####.pho.to/api/v1/search/trending?country=####&lang=####&appId=#...
- sto####.ws.pho.to/photolab_user_pics/f_105430690002028.jpeg
- sto####.ws.pho.to/photolab_user_pics/f_1288027761330898.jpeg
- sto####.ws.pho.to/s2/080C1CD6-1685-4CFE-BA90-96EC6FD7CFA8_m.jpg
- sto####.ws.pho.to/s2/0D944C47-248E-43E9-8FEC-986038ECB281_m.jpg
- sto####.ws.pho.to/s2/107588AE-3321-11E8-ADE2-22000AB6CC66_m.jpg
- sto####.ws.pho.to/s2/15276268683e8c25f151cee99587c1d637de1eee_m.jpeg
- sto####.ws.pho.to/s2/1E801F78-341F-11E8-BB05-22000AB535CD_m.jpg
- sto####.ws.pho.to/s2/23c518f3b1fa77623d9d1c05a0182f24e30fed7c_m.jpeg
- sto####.ws.pho.to/s2/259CC630-4E4D-496D-A42D-8B943D186CEC_m.jpg
- sto####.ws.pho.to/s2/2B91CCB4-334F-11E8-81B5-22000AB2E54B_m.jpg
- sto####.ws.pho.to/s2/3A32E32A-341C-11E8-BABC-22000AB535CD_m.jpg
- sto####.ws.pho.to/s2/3cc1c1a5ac84f47726d79f6a1832e5341f32a549_m.jpeg
- sto####.ws.pho.to/s2/6200EA69-8F92-4576-B615-09BD2E852BE5_m.jpg
- sto####.ws.pho.to/s2/63c65052d8c5b22b8547239ce8eef2429052d17b_m.gif
- sto####.ws.pho.to/s2/647558F5-D51C-4542-8599-4416DA58DD68_m.jpg
- sto####.ws.pho.to/s2/69D3032A-A6BD-4430-9433-2F4029E76AAB_m.jpg
- sto####.ws.pho.to/s2/7AE66C14-A121-40A7-ABA1-28B1771F6837_m.gif
- sto####.ws.pho.to/s2/7f2df29ef635bbe472b3689c9fb4ae870bfb4fa4_m.jpeg
- sto####.ws.pho.to/s2/82D9E81D-96BD-4B22-A776-36B0EBC2853B_m.jpg
- sto####.ws.pho.to/s2/88aa6f0a620dc47a474c4f5a947ac7bd75ad974e_m.jpeg
- sto####.ws.pho.to/s2/9192c2e230a52452ad8965b910d46f8059b4aeed_m.jpeg
- sto####.ws.pho.to/s2/9C86D61A-55D3-4459-A7E3-70BD8B87C228_m.jpg
- sto####.ws.pho.to/s2/A41F830B-2CE5-47E9-9F5A-C721B6363444_m.jpg
- sto####.ws.pho.to/s2/A51FC47A-1589-4688-BAB9-B8B522155566_m.jpg
- sto####.ws.pho.to/s2/AD10D860-3CFD-4D87-9608-4497A9922E38_m.jpg
- sto####.ws.pho.to/s2/B2D00382-BB11-11E7-9DA4-22000A3FB170_m.jpg
- sto####.ws.pho.to/s2/BBD691B7-CA94-4770-9521-31DCD43F7A5A_m.jpg
- sto####.ws.pho.to/s2/BD2524E8-F1F8-4618-A236-3978128590CC_m.jpg
- sto####.ws.pho.to/s2/CFAE7ADA-DDF8-4C38-871C-DC2DD42769C4_m.jpg
- sto####.ws.pho.to/s2/EB8BED00-38A0-4067-A9BF-13EA48143312_m.jpg
- sto####.ws.pho.to/s2/F5A81887-C9C1-4A31-98C9-91D5203CF80D_m.jpg
- sto####.ws.pho.to/s2/ab7ad50876d5ff17da7f3c47a995530e6618f23e_result_m.j...
- sto####.ws.pho.to/s2/b7e1694008a7937bcc22808c310eed0c5c73ba3b_m.jpeg
- sto####.ws.pho.to/s2/c6064f9d9ea57db3de7bf426d6c1f58257b7b8e0_m.jpeg
- sto####.ws.pho.to/s2/cd1b8ea2db05476be45f67348572adad1c3831ea_m.jpeg
- sto####.ws.pho.to/s2/cd7624739943aa2509420949182f4a79bc029550_m.jpeg
- sto####.ws.pho.to/s2/e1eb8b9abb4f36a3669d775310f1334292fa97c1_m.jpeg
Запросы HTTP POST:
- t####.ws.pho.to/upload.php
- ya####.online/
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-515249652-975763097
- /data/data/####/00ee8e8db6f6ed1ffc1283c7a4a2810a1c3e8c974965105....0.tmp
- /data/data/####/0c5c4b131b7afe95a830b7d80728f03aa8621cf976d5c07....0.tmp
- /data/data/####/1496809943795.jar
- /data/data/####/1496809943795.tmp
- /data/data/####/154a6dd11ae897f11e751992cad2a0046a0ed73d1e7f41c....0.tmp
- /data/data/####/189d731054adb2f9a22a0ddb7832be8f79b8ba2b2f17296....0.tmp
- /data/data/####/1c94c7bfc26c3725ed121cde1414c1e441571fccc38348e....0.tmp
- /data/data/####/1d40bb53afcef9f8e2996b085178333175012b8ed2c17e5....0.tmp
- /data/data/####/1d44d34f62fb965704de634746db28d1f6b07f0e201aaa2....0.tmp
- /data/data/####/1efe636e50dea7e7fb523edbd322d1ef47cf2e5a3823203....0.tmp
- /data/data/####/23c5d33f6de28172000b82f4250f050bcf9e1fd3b21b931....0.tmp
- /data/data/####/25c2df9adcf9c3476f5492ee23381100663f7aecb73b7f4....0.tmp
- /data/data/####/2a32a8e61e634bdf855a72c36860516173b9e092dc3a8ae....0.tmp
- /data/data/####/41d9772573341216ce26b99dae21b9d27dd397d16da475c....0.tmp
- /data/data/####/483c0f074bd6f5da0670d3d1dd56d963645d2defdaece10....0.tmp
- /data/data/####/4c0fa684ce160f3ae625b1773854b4959d0c5392e100eb7....0.tmp
- /data/data/####/4ea4c5906710a38b424d96cde9feb24e9b8dc3cdfc49e15....0.tmp
- /data/data/####/515eae40b7cfac06420aef02436010076b28c3d2eb8e055....0.tmp
- /data/data/####/59de49e7e3756190ebbaa8c95c3926953acbfef77f438bf....0.tmp
- /data/data/####/5ABE22F103A5-0001-080D-BB222114D87EBeginSession.cls_temp
- /data/data/####/5ABE22F103A5-0001-080D-BB222114D87ESessionApp.cls_temp
- /data/data/####/5ABE22F103A5-0001-080D-BB222114D87ESessionDevice.cls_temp
- /data/data/####/5ABE22F103A5-0001-080D-BB222114D87ESessionEvent...s_temp
- /data/data/####/5ABE22F103A5-0001-080D-BB222114D87ESessionOS.cls_temp
- /data/data/####/5c6fc533f940b06a006d75cf9c2a631902a723ab9a5dacd....0.tmp
- /data/data/####/5cb73b7b968b585d12acf8d79e806e58d49e77262fa99ef....0.tmp
- /data/data/####/6133418466e84fc343a0826cd9ca64a5feaa5fd5df9a42f....0.tmp
- /data/data/####/625029607d7cc8498fb61bcce2a9f7fdb70b51a838f5c5a....0.tmp
- /data/data/####/636d1e1410b392ea085da0ebc49af9bc5929d10c8b53338....0.tmp
- /data/data/####/6ca5b25393472a4dbfd3d4a530bbb893f6d5411ece3b79b....0.tmp
- /data/data/####/757eb686e0904f5da98bcb1f6c3f74f7b33e445170e76ab....0.tmp
- /data/data/####/76f7031a465f6ca093a6d71f89628a96409588bc246851b....0.tmp
- /data/data/####/7770e88fc0db9c6457b1849cf3671bc0a52f66ad76d5137....0.tmp
- /data/data/####/8239dbdd15d85f9acf709d644db6010c9f4141ceea0c6c2....0.tmp
- /data/data/####/8288f44aab9e93b1f54924853e6140dbf1434af4a826eac....0.tmp
- /data/data/####/85d589c9062300fa6dfa50555732950b97145a8f1888190....0.tmp
- /data/data/####/8d41b6b138c042eeb0419d5d5ccea0ccbf6c5dee84a6445....0.tmp
- /data/data/####/8f2734897e3bd1b656ef93a3f7aab46d7cbd41fd7a0820e....0.tmp
- /data/data/####/928e9c9cafc5be3052aaf9607b7cfec0f4b4211c016744c....0.tmp
- /data/data/####/93753f8ebd5136cf8e110080046c266eae9f2971e5e8962....0.tmp
- /data/data/####/96c71f939a2bc49bb3a3d20bd3e3ab8e83273c77b0ef911....0.tmp
- /data/data/####/9c2cbad34f1e87c59d0262b8a7d95e51c4fe7b58ebf2c66....0.tmp
- /data/data/####/AnalyticsWrapper.xml
- /data/data/####/AppEventsLogger.persistedevents
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/Banner.xml
- /data/data/####/DbImpl.xml
- /data/data/####/FBAdPrefs.xml
- /data/data/####/FaceFinderService.xml
- /data/data/####/SDKIDFA.xml
- /data/data/####/SWoGljuib
- /data/data/####/Settings.xml
- /data/data/####/TwitterAdvertisingInfoPreferences.xml
- /data/data/####/VMAnalyticManager.xml
- /data/data/####/VMVicmanAnalyticProv.xml
- /data/data/####/a0a46731a169eae9e4ef76e836df81e0fdcb34521832f37....0.tmp
- /data/data/####/ade76a60b46b2bc212ce1fda05d57fb2f8aea037502b31d....0.tmp
- /data/data/####/admob.xml
- /data/data/####/b264500a0a89d638e67bdb2abbf967f3010c6972576e73e....0.tmp
- /data/data/####/b314ef57dd6ad29da079ad14152abf7f2edaf257c4e911c....0.tmp
- /data/data/####/b839b4e5a7776a0313af6c54751d2c196afa43c0c9a02af....0.tmp
- /data/data/####/b8c6455b015839afeb653d3a5ba5982af86ba97f63941d1....0.tmp
- /data/data/####/b9cb06223cba88f00bc65105b4fea51e91a267bdf68063a....0.tmp
- /data/data/####/bb48080c38b869ab1dcbc7126b977bfb31120e238b9acd3....0.tmp
- /data/data/####/bf769920e7dcb56ca1d153ec6b308949b1af2b2846f79e6....0.tmp
- /data/data/####/c16cf3e7afec4da8a026413ba5e1aebe6d0544aae908b10....0.tmp
- /data/data/####/cf1821923e01f3225f685e1ad46e885c8d6b5bf1bc516ae....0.tmp
- /data/data/####/com.crashlytics.prefs.xml
- /data/data/####/com.crashlytics.sdk.android.crashlytics-core;co...re.xml
- /data/data/####/com.crashlytics.sdk.android;answers;settings.xml
- /data/data/####/com.crashlytics.settings.json
- /data/data/####/com.facebook.ads.FEATURE_CONFIG.xml
- /data/data/####/com.facebook.internal.preferences.APP_SETTINGS.xml
- /data/data/####/com.facebook.sdk.appEventPreferences.xml
- /data/data/####/com.facebook.sdk.attributionTracking.xml
- /data/data/####/com.google.android.gms.analytics.prefs.xml
- /data/data/####/com.google.android.gms.appid-no-backup
- /data/data/####/com.google.android.gms.appid.xml
- /data/data/####/com.google.android.gms.measurement.prefs.xml
- /data/data/####/crashlytics-userlog-5ABE22F103A5-0001-080D-BB22...E.temp
- /data/data/####/crashlytics-userlog-5ABE22F103A5-0001-080D-BB22...mp.tmp
- /data/data/####/d19d576d7c3d85c131684e19e3320972288139ce0ce18c6....0.tmp
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/e8c1d5abd5bc0e494c7f9d808c4b68b2dd981d6eb337d1f....0.tmp
- /data/data/####/e9b55460eb0b5f27d82d9be491056cac74ca1d90381ab8c....0.tmp
- /data/data/####/ed3cef37051e33e6d587685cc1009d485a593b31bd87628....0.tmp
- /data/data/####/f22fc0c2c2783222e94ea839003c0fe95e50fe713ab1de5....0.tmp
- /data/data/####/f3275f972a6454743a5892169cc81fdf4c14ad1484d666e....0.tmp
- /data/data/####/f368cae57685cb4f1b414c1471beb1f5418f20824b3c4fa....0.tmp
- /data/data/####/f92208c65b240f2411c258143823664b184be261f74252e....0.tmp
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/fc46ab0da6b2a7224d1a7c1d0ccd0b64b161220dd10efc2....0.tmp
- /data/data/####/firstrun.xml
- /data/data/####/gaClientId
- /data/data/####/google_ads_flags_meta.xml
- /data/data/####/google_analytics_v4.db-journal
- /data/data/####/google_app_measurement_local.db
- /data/data/####/google_app_measurement_local.db-journal
- /data/data/####/https_googleads.g.doubleclick.net_0.localstorage-journal
- /data/data/####/index
- /data/data/####/initialization_marker
- /data/data/####/io.fabric.sdk.android;fabric;io.fabric.sdk.andr...ng.xml
- /data/data/####/journal.tmp
- /data/data/####/multidex.version.xml
- /data/data/####/photolab.db-journal
- /data/data/####/remote_config.xml
- /data/data/####/sa_07772e76-67b0-4d9d-8347-81a383a2e26e_1522410227455.tap
- /data/data/####/sa_3d7038c5-2d1e-4fdb-b3be-6c0b4848acbe_1522410227837.tap
- /data/data/####/session_analytics.tap
- /data/data/####/session_analytics.tap.tmp
- /data/data/####/settings.json
- /data/data/####/t16_funny_photo.dat.jar
- /data/data/####/token.xml
- /data/data/####/vsin.t16_funny_photo-1.apk.classes-313661861.zip
- /data/data/####/vsin.t16_funny_photo-1.apk.classes-378817047.zip
- /data/data/####/vsin.t16_funny_photo_preferences.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.nomedia
- /data/media/####/0255a44f-5114-40fc-b6bb-36baef250e06.jpeg
- /data/media/####/on-launch-web-banner-cache.html
- /data/media/####/on-launch-web-banner-cache.html.tmp
- /data/media/####/one-bp-postdownload-cache.html.tmp
- /data/media/####/web-banner-cache.html.tmp
Другие:
Загружает динамические библиотеки:
- FFTEm
- ImageBlur
- SWoGljuib
- pl_droidsonroids_gif
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
