Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.589.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 52.52.2####.56:80
- TCP(HTTP/1.1) go.hotw####.top:80
- TCP(HTTP/1.1) a####.qq.com:80
- TCP(HTTP/1.1) cdn.app.kac####.####.com:80
- TCP(HTTP/1.1) mon####.uu.qq.com:80
- TCP(HTTP/1.1) cdn.game####.org:80
- TCP(HTTP/1.1) 1####.76.224.67:80
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) f####.gst####.com:443
- TCP(TLS/1.0) adser####.go####.nl:443
- TCP(TLS/1.0) lh3.googleu####.com:443
- TCP(TLS/1.0) a####.qq.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) www.googlet####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) www.google-####.com:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) s####.g.doublec####.net:443
- TCP(TLS/1.0) f####.google####.com:443
Запросы DNS:
- a####.google####.com
- adser####.go####.nl
- cdn.app.kac####.cn
- cdn.game####.org
- f####.google####.com
- f####.gst####.com
- go.hotw####.top
- lh3.googleu####.com
- mon####.uu.qq.com
- s####.g.doublec####.net
- ssl.gst####.com
- t####.w####.a####.cn
- tdl.a####.cn
- www.go####.com
- www.go####.nl
- www.google-####.com
- www.googlet####.com
- www.gst####.com
Запросы HTTP GET:
- a####.qq.com/dl/wifi/r/kingroot/kingroot_last.apk?guid=####
- cdn.app.kac####.####.com/sfile/201804/05/all/cp_V2.8.3.txt
- cdn.game####.org/strategy/UnknownDev
- cdn.game####.org/strategy/base
- cdn.game####.org/strategy/dev_root
- cdn.game####.org/strategy/dev_root2
- cdn.game####.org/strategy/larger4.3
- cdn.game####.org/strategy/loss_4.3
- cdn.game####.org/strategy/sul18
- cdn.game####.org/strategy/symlink-adbd
Запросы HTTP POST:
- go.hotw####.top/jzbdt/fkw/rle/purj
- go.hotw####.top/jzbdt/fxe/dcxl
- go.hotw####.top/jzbdt/liy/gn/jrtok
- go.hotw####.top/jzbdt/o/bpf
- go.hotw####.top/jzbdt/os/l
- go.hotw####.top/sdf/fj
- mon####.uu.qq.com/analytics/rqdsync
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/0b78c6b0-7317-48c0-adda-e7ad7f8892ee
- /data/data/####/1090fcb3-6cb1-4df6-8e83-3872d829c370 (deleted)
- /data/data/####/1740c449fc10be62df60ba0f18696c9f
- /data/data/####/1a2e091b-9175-4db8-a753-d2fcb556f165
- /data/data/####/1ec2c373-a5b5-4917-b46d-c3927a8c4ef7
- /data/data/####/32edd79a240b5f1e461d069caab1ec3e
- /data/data/####/453bc7ea-95f8-46de-a5cf-829c5ede746c
- /data/data/####/56c49225-4e9f-4e89-9b06-5d49a45dafbf
- /data/data/####/5f545f10-7e41-4114-914f-34a472a08acc
- /data/data/####/7709b4cb-308f-4b53-8cf2-fcd921d27cab
- /data/data/####/8b6f263391259b7a8e5f58ee71852ca8
- /data/data/####/Matrix
- /data/data/####/SUBOXLOG_
- /data/data/####/UmengEvent.xml
- /data/data/####/UserBehavior.xml
- /data/data/####/a085a433-6e56-4bc6-a88b-f47a43195f57
- /data/data/####/b0141e478b25af7c40a8cca8de6c4708
- /data/data/####/b18a021d11a3004d25017230b681476b
- /data/data/####/c61913b615fb6224701377a119081f36
- /data/data/####/c7eff520-024d-4128-955e-53fd01716f1e
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/checker.jar
- /data/data/####/common.xml
- /data/data/####/d138cf9a-64f4-46a8-8312-bc2fd5adb513
- /data/data/####/d5252287-7a67-4ff0-92fd-721f63ea0c7a
- /data/data/####/da90e884-ae20-4f8b-8d05-a7890d96cd73
- /data/data/####/ddexe
- /data/data/####/debuggerd
- /data/data/####/device.db
- /data/data/####/downloadtask.db
- /data/data/####/downloadtask.db-journal
- /data/data/####/eup_db
- /data/data/####/eup_db-journal
- /data/data/####/fileWork
- /data/data/####/gn.jar
- /data/data/####/install-recovery.sh
- /data/data/####/kr.xml
- /data/data/####/mobclick_agent_cached_com.wifi.shensigapioweqt.qiwptet103
- /data/data/####/pidof
- /data/data/####/qsb.xml
- /data/data/####/root3
- /data/data/####/sfe.xml
- /data/data/####/su
- /data/data/####/subox.xml
- /data/data/####/supolicy
- /data/data/####/t_u.db-journal
- /data/data/####/toolbox
- /data/data/####/uf.jar
- /data/data/####/umeng_general_config.xml
- /data/data/####/wifipassword-journal
- /data/data/####/wsroot.sh
- /data/data/####/wv.xml
- /data/media/####/.nomedia
- /data/media/####/2018-04-05
- /data/media/####/V2.8.3.txt
- /data/media/####/kingroot.apk (deleted)
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.board.platform
- chmod 777 Matrix ddexe debuggerd device.db fileWork install-recovery.sh pidof root3 su supolicy toolbox wsroot.sh
- chmod 777 Matrix ddexe debuggerd fileWork install-recovery.sh pidof su supolicy toolbox wsroot.sh
- getprop ro.board.platform
- sh
- su
Загружает динамические библиотеки:
- _r537
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- DES
- DES-CBC-PKCS5Padding
- DES-ECB-NoPadding
- RSA-ECB-PKCS1Padding
Использует повышенные привилегии.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
