Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.208
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) md.ope####.360.cn:80
- TCP(HTTP/1.1) ad.d####.360.cn:80
- TCP(HTTP/1.1) s.3####.cn:80
- TCP(HTTP/1.1) p18.q####.com:80
- TCP(HTTP/1.1) d####.360.cn:80
- TCP(HTTP/1.1) s####.m.me####.com:80
- TCP(HTTP/1.1) mvp.me####.com:80
- TCP(HTTP/1.1) p6.q####.com:80
- TCP 1####.199.97.234:80
Запросы DNS:
- ad.d####.360.cn
- d####.360.cn
- ims.1####.com
- mate####.me####.com
- md.ope####.360.cn
- mt####.go####.com
- mvp.me####.com
- no####.1####.com
- p####.1####.com
- p0.q####.com
- p1.q####.com
- p15.q####.com
- p16.q####.com
- p18.q####.com
- p19.q####.com
- p6.q####.com
- ps.d####.360.cn
- s####.m.me####.com
- s.3####.cn
- t####.typl####.com
Запросы HTTP GET:
- d####.360.cn/mod/exchange/wallDetail?soft_id=####&pname=####&tab=####
- d####.360.cn/mod/exchange/wallList?tab=####&pname=####&version=####&user...
- d####.360.cn/popup.php?pname=####&version=####
- md.ope####.360.cn/?product=####&version=####
- p18.q####.com/d/inn/1e3715bc/s.gif
- p18.q####.com/d/inn/fe449c76/images/img-ph.png
- p18.q####.com/d/inn/fe449c76/images/io0.png
- p18.q####.com/d/inn/fe449c76/images/io1.png
- p18.q####.com/s/t01045a7c6eed6df96e/_sjzs_gamecenter/common_list.js
- p18.q####.com/s/t012b5b61823a87923a/_sjzs_gamecenter/detail.css
- p18.q####.com/s/t012bd79903f9cfda72/_sjzs_gamecenter/search.css
- p18.q####.com/s/t012c00f35036dbf616/_sjzs_gamecenter/main.js
- p18.q####.com/s/t0158e0d1bded8c76f8/_sjzs_gamecenter/common.js
- p18.q####.com/s/t0187d14e77808e827a/_sjzs_gamecenter/main.css
- p18.q####.com/s/t01afcacc8442470ee9/_sjzs_gamecenter/swipe2Init.js
- p18.q####.com/s/t01d11d6b5d943a0765/_sjzs_gamecenter/zepto.extend.js
- p18.q####.com/s/t01d96abd2c229d29e0/_sjzs_gamecenter/swipe.mini.js
- p18.q####.com/t011c2a6e61843a5871.png
- p18.q####.com/t012568962cfee68ed2.png
- p18.q####.com/t0139ac27aa46622860.png
- p18.q####.com/t013ca3c88fd47f5925.png
- p18.q####.com/t0146c0017085c359fc.png
- p18.q####.com/t0184d1d40555aecdd8.png
- p18.q####.com/t01877bbeed071f828a.png
- p18.q####.com/t019ba45ae151e2d518.png
- p18.q####.com/t019e3260efd631b3a4.png
- p18.q####.com/t01a187275ddd4857f5.png
- p18.q####.com/t01b792441769dbca78.png
- p18.q####.com/t01b98b18d50c814385.png
- p18.q####.com/t01bcb3b7feb64a2e32.png
- p18.q####.com/t01e061df9c1aa41f6e.png
- p18.q####.com/t01fa1c5985733bee11.png
- p6.q####.com/bjjs/sdk/v153/ads_0.1.5.3.jar
- p6.q####.com/t01cca4ff6e4157365b.png
- s####.m.me####.com/s
- s####.m.me####.com/s?switch=####
- s####.m.me####.com/update?sdkv=####
- s.3####.cn/jiagu/s.html?model=####&osVersion=####&b=####&c=####&rid=####...
Запросы HTTP POST:
- ad.d####.360.cn/sendstat
- mvp.me####.com/t?type=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/522jni.jar
- /data/data/####/522tempjni.jar
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/Iad_lock.db
- /data/data/####/Iad_lock.db-journal
- /data/data/####/com.javast_preferences.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/dynamic.jar
- /data/data/####/f_000001
- /data/data/####/i.so
- /data/data/####/iad.db-journal
- /data/data/####/iad_download.db-journal
- /data/data/####/iad_frame.db-journal
- /data/data/####/iad_frame_pre.xml
- /data/data/####/iad_unkit.xml
- /data/data/####/iad_ypu.db-journal
- /data/data/####/index
- /data/data/####/ipssp.xml
- /data/data/####/libni.so
- /data/data/####/libprotectClass.so
- /data/data/####/libqupc.so
- /data/data/####/mv_crash.log
- /data/data/####/mv_swich.cfg
- /data/data/####/n.jar
- /data/data/####/qhexad_game_session_info.xml
- /data/data/####/qhexad_game_stat_log.json
- /data/data/####/qhopen_game_session_info.xml
- /data/data/####/qhpush_game_stat_log.json
- /data/data/####/qhpush_session_info.xml
- /data/data/####/qihooLock.xml
- /data/data/####/qihoo_gamead_download
- /data/data/####/qihoo_gamead_download-journal
- /data/data/####/u360_config.xml
- /data/data/####/ver_info.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/ypksp.xml
- /data/media/####/com.javast
- /data/media/####/f20a4aedc6a6829f47faf591922f4001
- /data/media/####/justin.txt
- /data/media/####/randId
Другие:
Запускает следующие shell-скрипты:
- chmod 777 <Package Folder>/files/libqupc.so
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- libni
- libprotectClass
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
