Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.683.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) sh.wagbr####.alibaba####.com:80
- TCP(HTTP/1.1) m.q####.com:80
- TCP(HTTP/1.1) 47.92.1####.96:80
- TCP(HTTP/1.1) p####.q####.com:80
- TCP(HTTP/1.1) cdn.img.lebu####.####.com:80
- TCP(TLS/1.0) pic.q####.com:443
- TCP(TLS/1.0) cdn.app.pin####.####.com:443
- TCP(TLS/1.0) m.q####.com:443
- TCP(TLS/1.0) pe.winin####.top:443
Запросы DNS:
- cdn.app.lebu####.top
- cdn.app.pin####.top
- cdn.img.lebu####.top
- log.u####.com
- m.q####.com
- p####.q####.com
- pe.winin####.top
- pic.q####.com
Запросы HTTP GET:
- cdn.img.lebu####.####.com/upload/201804/20/app/20180420215910021.apk
- cdn.img.lebu####.####.com/upload/201804/20/app/20180420220554171.apk
- cdn.img.lebu####.####.com/upload/201804/20/img/20180420215908240.png
- cdn.img.lebu####.####.com/upload/201804/20/img/20180420220523316.png
- cdn.img.lebu####.####.com/upload/201804/20/img/20180420220851699.png
- p####.q####.com/up/2016-10/201610121449122020.jpg
- p####.q####.com/up/2017-8/2017831151186491.png
- p####.q####.com/up/2017-9/201791112821643.jpg
- sh.wagbr####.alibaba####.com/bar/get/57ccc92867e58e1e9e000763/?ud_get=####
Запросы HTTP POST:
- m.q####.com/apajax.asp?action=####&ctype=####&num=####
- m.q####.com/txapp/apk/up.asp?action=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/2OL7-RF35kMURUJzAxdNSdj-4q0.1498192879.tmp
- /data/data/####/41qvvJaWRpDRziCUM1YE3bLRWus.1453901006.tmp
- /data/data/####/842JOIw9lH8IjuF0hNw-e3rzrQg.-725923474.tmp
- /data/data/####/9mD1i8zFohB5QOQ_szX9Fh7erEQ.-1388596189.tmp
- /data/data/####/RN98itjxFGenNUkdblHxfrnFQ1w.-808536185.tmp
- /data/data/####/V2.8.8.3.txt
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/count.xml
- /data/data/####/disk_entries_list_image_cache_444807936.xml
- /data/data/####/fzVjzbbjxDmb7x39ooYugpdcfaI.266614812.tmp
- /data/data/####/kb.jar
- /data/data/####/kr.xml
- /data/data/####/mobclick_agent_cached_com.sduisdfb.xcvpahse40070909
- /data/data/####/pl.jar
- /data/data/####/t_u.db-journal
- /data/data/####/uCRjiLgq4-e5IkZ0IN_tx1J5_eg.-226782228.tmp
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_socialize.xml
- /data/data/####/v2_8XVTyvPBBqPhDhABF6-NVmFg.164692475.tmp
- /data/data/####/vbz.xml
- /data/data/####/ymIecwXBaKmXrNe_wEB4J7RLoU4.1532610472.tmp
- /data/media/####/.nomedia
- /data/media/####/635357e510e558cc380e4443f25b1c1a.apk
- /data/media/####/6fe41cdfd2644
- /data/media/####/b.tmp
- /data/media/####/b22a8f73f61ce
- /data/media/####/bcc94e24ed72b503365df57df7a5898a.apk
- /data/media/####/cb4f1d079625a
Другие:
Запускает следующие shell-скрипты:
- chmod 777 /storage/emulated/0/Android/data/<Package>/files/Download/Android/azb/635357e510e558cc380e4443f25b1c1a.apk
- chmod 777 /storage/emulated/0/Android/data/<Package>/files/Download/Android/azb/bcc94e24ed72b503365df57df7a5898a.apk
- ps 2077
- ps 2117
- ps 2162
Загружает динамические библиотеки:
- imagepipeline
- tusdk-library
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-NoPadding
- DES
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
