Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Appsad.5.origin
- Adware.Mobikok.1.origin
- Android.BackDoor.985
- Android.RemoteCode.88.origin
- Android.Xiny.1.origin
- Android.Xiny.197
- Android.Xiny.202.origin
- Android.Xiny.73.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 45.33.1####.188:80
- TCP(HTTP/1.1) of.okyes####.com:80
- TCP(HTTP/1.1) overt####.com:80
- TCP(HTTP/1.1) t####.upbn####.com:80
- TCP(HTTP/1.1) api.ki####.com:80
- TCP(HTTP/1.1) ols.dedicat####.com:80
- TCP(HTTP/1.1) tretras####.com:80
- TCP(HTTP/1.1) mo.freeind####.com:80
- TCP(HTTP/1.1) www.zfr####.com:80
- TCP(HTTP/1.1) 45.79.1####.160:80
- TCP(HTTP/1.1) www.okyes####.com:8081
- TCP(HTTP/1.1) 45.79.2####.163:80
- TCP(HTTP/1.1) s####.mob####.b####.com:80
- TCP(HTTP/1.1) www.okyes####.com:8080
- TCP(HTTP/1.1) 45.79.1####.161:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) api.bi####.com:80
- TCP(HTTP/1.1) www.mmmmmm####.com:80
- TCP(HTTP/1.1) 45.79.1####.241:80
- TCP(HTTP/1.1) 45.79.1####.48:80
- TCP(HTTP/1.1) xml.bikinis####.com:80
- TCP(HTTP/1.1) www.koapk####.com:8081
- TCP(HTTP/1.1) api.mob####.b####.com:80
- TCP(HTTP/1.1) pl####.mob####.b####.com:80
- TCP(HTTP/1.1) 1####.235.47.13:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) www.cu####.com:80
- TCP(HTTP/1.1) en.sno####.1####.com:8088
- TCP(HTTP/1.1) t####.m####.net:80
- TCP(SSL/3.0) digital####.com:443
- TCP(SSL/3.0) billmsc####.com:443
- TCP(TLS/1.0) digital####.com:443
- TCP(TLS/1.0) billmsc####.com:443
- TCP(TLS/1.0) t####.m####.net:443
Запросы DNS:
- a####.u####.com
- api.bi####.com
- api.ki####.com
- api.mob####.b####.com
- billmsc####.com
- digital####.com
- en.sno####.1####.com
- ilv####.com
- mo.freeind####.com
- oc.u####.com
- of.okyes####.com
- ols.dedicat####.com
- overt####.com
- pl####.mob####.b####.com
- s####.mob####.b####.com
- t####.m####.net
- t####.upbn####.com
- u####.b####.com
- www.cu####.com
- www.koapk####.com
- www.mmmmmm####.com
- www.okyes####.com
- www.zfr####.com
- xml.bikinis####.com
Запросы HTTP GET:
- api.bi####.com/sdkOffer?os=####&model=####&gaid=####&imei=####&androidId...
- api.ki####.com/click?tid=####
- api.ki####.com/express?tid=####
- api.mob####.b####.com/strategy/api/v1/rule/get?p=####&hp=####&l=####&c=#...
- of.okyes####.com/redirect?uid=####&sourceid=####&clickid=####
- ols.dedicat####.com/sl?feed=####&auth=####&subid=####
- overt####.com/d/46801059bf4cd8312d4?sub=####&source=####
- overt####.com/d/46801059bf4cd8312d4?sub=####&source=####&code=####
- overt####.com/gw?sub=5abce6b5-5726-493d-96db-0a17f67d0457&source=1021&ur...
- t####.m####.net/aff_c?offer_id=####&aff_id=####&aff_sub=####&aff_sub1=##...
- t####.upbn####.com//click?id=####&aff=####&ost=####&click=####
- tretras####.com/55K39/N-7P/Oerf/YaaPe2WRVZ5lZxs3BIiYiZ7_bHHhvSwwgn5hPHpE...
- www.cu####.com/20180402190654.BdJar521Dex_D827_201804021905.zip
- xml.bikinis####.com/redirect?feed=####&auth=####&url=####&query=####&sub...
Запросы HTTP POST:
- a####.u####.com/app_logs
- api.bi####.com/un
- en.sno####.1####.com:8088/sdk/api/checklib
- en.sno####.1####.com:8088/sdk/api/log/record
- en.sno####.1####.com:8088/sdk/api/regclient
- mo.freeind####.com/detail/getOfferListNew?enc=####
- oc.u####.com/check_config_update
- pl####.mob####.b####.com/ad_dex.php
- s####.mob####.b####.com/cgi-bin-py/ad_sdk.cgi?ty=####&enc=####&bt=####
- www.koapk####.com:8081/sm/sr/rt/ry
- www.koapk####.com:8081/sm/sr/sp/py
- www.mmmmmm####.com/osp/oaen_get.action?tasktype=####&imei=####&imsi=####...
- www.mmmmmm####.com/osp/oaen_reg.action
- www.okyes####.com:8080/sdk/cb.action
- www.okyes####.com:8080/sdk/td.action
- www.okyes####.com:8081/sdk/nsd.action?b=####
- www.zfr####.com/up.do
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/08357668.apk
- /data/data/####/08357668.dex
- /data/data/####/08467448.apk
- /data/data/####/08467448.dex
- /data/data/####/11419507.apk
- /data/data/####/11419507.dex
- /data/data/####/20160121.xml
- /data/data/####/201711071150.apk
- /data/data/####/64662826.apk
- /data/data/####/64662826.dex
- /data/data/####/71194096.apk
- /data/data/####/71194096.dex
- /data/data/####/72658967.apk
- /data/data/####/72658967.dex
- /data/data/####/93055974.apk
- /data/data/####/93055974.dex
- /data/data/####/93079560.apk
- /data/data/####/93079560.dex
- /data/data/####/AD_ID_SPINFO.xml
- /data/data/####/ActivatePreUtil.xml
- /data/data/####/AdsBusiness-data.xml
- /data/data/####/AdsBusiness-data.xml (deleted)
- /data/data/####/BusinessPreUtil.xml
- /data/data/####/LoginPreUtil.xml
- /data/data/####/MobikokCache_Type_1.xml
- /data/data/####/MobikokConfig_Type_1.xml
- /data/data/####/MobikokConfig_Type_1.xml.bak
- /data/data/####/MobikokConfig_Type_1.xml.bak (deleted)
- /data/data/####/N2051.data
- /data/data/####/OfferPreUtil.xml
- /data/data/####/Q2hhbm5lbElES2V5MjAxNjEyMjcxODU3.xml
- /data/data/####/QURfUk9PVF9TREtfMjAxNzAyMDgxMA.xml
- /data/data/####/SpZvPrefs.xml
- /data/data/####/adblib.db-journal
- /data/data/####/af.xml
- /data/data/####/aps.xml
- /data/data/####/apsad.xml
- /data/data/####/apscomm.xml
- /data/data/####/bb.jar
- /data/data/####/bdownloaders.db-journal
- /data/data/####/c201711071150.apk
- /data/data/####/classes.zip
- /data/data/####/cn_rs.xml
- /data/data/####/cn_rs.xml.bak
- /data/data/####/com.kygme.jscll_preferences.xml
- /data/data/####/d.zip
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/debuggerd_hulu
- /data/data/####/dk356.data
- /data/data/####/dk360.data
- /data/data/####/dk363.data
- /data/data/####/dk812.data
- /data/data/####/dk910.data
- /data/data/####/dk917.data
- /data/data/####/dtemp.apk
- /data/data/####/elfm
- /data/data/####/elfm1523458909383.zip
- /data/data/####/f_000001
- /data/data/####/file__0.localstorage-journal
- /data/data/####/forever.sh
- /data/data/####/google.db
- /data/data/####/index
- /data/data/####/install-recovery.sh
- /data/data/####/isupdate.xml
- /data/data/####/ja201801152050.data
- /data/data/####/kcol_ysy
- /data/data/####/krcfg.txt
- /data/data/####/krmain
- /data/data/####/krmain1523458910851.zip
- /data/data/####/krmain1523458937206.zip
- /data/data/####/krmain1523458945637.zip
- /data/data/####/krmain1523458955525.zip
- /data/data/####/krmain1523458964313.zip
- /data/data/####/krmain1523458975737.zip
- /data/data/####/krsdk.cert
- /data/data/####/lib.dat
- /data/data/####/load_jpoo_hd
- /data/data/####/m_cfg.xml
- /data/data/####/m_cfg.xml (deleted)
- /data/data/####/mesosphere.jar
- /data/data/####/mobclick_agent_online_setting_com.kygme.jscll.xml
- /data/data/####/oatdump_pooj_radish
- /data/data/####/ob1.zip
- /data/data/####/other_config.xml
- /data/data/####/plug.dataBase
- /data/data/####/plug.dataBase-journal
- /data/data/####/rtr.db
- /data/data/####/rtr.db-journal
- /data/data/####/supolicy
- /data/data/####/swith1014.db-journal
- /data/data/####/t_ini.xml
- /data/data/####/t_ini.xml (deleted)
- /data/data/####/t_ini.xml.bak
- /data/data/####/t_ini.xml.bak (deleted)
- /data/data/####/toolbox
- /data/data/####/toolbox1523458910214.zip
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/upgrade_config.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.cuid
- /data/media/####/dev_0.txt
- /data/media/####/files.db
- /data/media/####/gads.db
- /data/media/####/imei.txt
- /data/media/####/journal.tmp
- /data/media/####/sp
- /data/media/####/syncfiles.db
Другие:
Запускает следующие shell-скрипты:
- .kugua
- .kugua -c id
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- c201711071150.apk -p <Package> -c <Package>:crane
- chmod 0755 <Package Folder>/com.init.env
- chmod 0777 <Package Folder>/com.init.env/files/elfm
- chmod 0777 <Package Folder>/com.init.env/files/forever.sh
- chmod 0777 <Package Folder>/com.init.env/files/toolbox
- chmod 0777 <Package Folder>/p.dk356/files/forever.sh
- chmod 0777 <Package Folder>/p.dk356/files/krmain
- chmod 0777 <Package Folder>/p.dk360/files/forever.sh
- chmod 0777 <Package Folder>/p.dk360/files/krmain
- chmod 0777 <Package Folder>/p.dk363/files/forever.sh
- chmod 0777 <Package Folder>/p.dk363/files/krmain
- chmod 0777 <Package Folder>/p.dk812/files/forever.sh
- chmod 0777 <Package Folder>/p.dk812/files/krmain
- chmod 0777 <Package Folder>/p.dk812/files/krsdk.cert
- chmod 0777 <Package Folder>/p.dk910/files/forever.sh
- chmod 0777 <Package Folder>/p.dk910/files/krmain
- chmod 0777 <Package Folder>/p.dk917/files/forever.sh
- chmod 0777 <Package Folder>/p.dk917/files/krmain
- chmod 777 <Package Folder>/p.dk356/files/krcfg.txt
- chmod 777 <Package Folder>/p.dk360/files/krcfg.txt
- chmod 777 <Package Folder>/p.dk363/files/krcfg.txt
- chmod 777 <Package Folder>/p.dk812/files/krcfg.txt
- chmod 777 <Package Folder>/p.dk910/files/krcfg.txt
- chmod 777 <Package Folder>/p.dk917/files/krcfg.txt
- load_jpoo_hd
- load_jpoo_hd -c id
- logcat -d -v time
- ls -l /system/bin/su
- ps
- sh
- sh /system/bin/load_jpoo_hd
- sh /system/bin/load_jpoo_hd -c id
- su
- su -c id
Загружает динамические библиотеки:
- dan.yufeng
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-NoPadding
- AES-ECB-PKCS5Padding
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- DES
- DES-CBC-PKCS5Padding
Использует повышенные привилегии.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о зарегистрированных на устройстве аккаунтах (Google, Facebook и тд.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
