Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Dowgin.3.origin
- Android.DownLoader.675.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) i.a.15####.com:80
- TCP(HTTP/1.1) wap.n.sh####.com:80
- TCP(HTTP/1.1) box.jom####.com:80
- TCP(HTTP/1.1) www.think####.cn:80
- TCP(HTTP/1.1) g####.bdst####.com:80
- TCP(HTTP/1.1) dm.bd.5####.####.net:80
- TCP(HTTP/1.1) an.ca.15####.cn:80
- TCP(HTTP/1.1) ssl.ss####.cn:80
- TCP(TLS/1.0) 2####.58.212.206:443
- TCP s1.u####.com:7701
- TCP s3.u####.com:7703
Запросы DNS:
- an.ca.15####.cn
- dm.bd.5####.net
- g####.bdst####.com
- i.a.15####.com
- m.b####.com
- s.bdst####.com
- s1.u####.com
- s2.u####.com
- s3.u####.com
- ss####.cn
- ssl.ss####.cn
- www.think####.cn
Запросы HTTP GET:
- box.jom####.com/common/openjs/openBox.js?_v=####
- dm.bd.5####.####.net/apk/20170705/201707051157602.png
- dm.bd.5####.####.net/apk/20171207/201712071116111.png
- g####.bdst####.com/5foUcz3n1MgCo2Kml5_Y_D3/graph/static/resource/sdk/mob...
- g####.bdst####.com/5foUcz3n1MgCo2Kml5_Y_D3/graph/static/resource/sdk/v1....
- ssl.ss####.cn/ssllq/ok121realweather.jsp?cid=####
- wap.n.sh####.com/his?callback=####&type=####&ishome=####&islogin=####&pi...
- wap.n.sh####.com/rec?platform=####&ms=####&rset=####&word=####&qid=####&...
- wap.n.sh####.com/s?word=####
- wap.n.sh####.com/s?word=####&rq=####&sa=####&rsf=####&pqid=####&ant_ct=#...
- wap.n.sh####.com/se/static/ala_atom/app/realtime/bundle_f09ebe2.js
- wap.n.sh####.com/se/static/ala_atom/app/vid_hor/bundle_2db5b5a.js
- wap.n.sh####.com/se/static/atom/search-ui/core_4cb924c.js
- wap.n.sh####.com/se/static/atom/search-ui/enhance_89617bb.js
- wap.n.sh####.com/se/static/font/cicon_6c0b05d.ttf
- wap.n.sh####.com/se/static/js/base/ala/util_e135ec4.js
- wap.n.sh####.com/se/static/js/base/atom/atomWrapper_450bec1.js
- wap.n.sh####.com/se/static/js/dep/fingerprint2.min_df95685.js
- wap.n.sh####.com/se/static/js/fusion/b-player/b-player_6d1ee6d.js
- wap.n.sh####.com/se/static/js/fusion/b-popup/b-popup_63ff762.js
- wap.n.sh####.com/se/static/js/fusion/b-scroll/b-scroll_4463064.js
- wap.n.sh####.com/se/static/js/fusion/b-scroll/bdscroll_10fab41.js
- wap.n.sh####.com/se/static/js/fusion/b-scroll/scroll_973715e.js
- wap.n.sh####.com/se/static/js/fusion/b-share/b-share_896ce2f.js
- wap.n.sh####.com/se/static/js/fusion/b-toast/b-toast_dfdc564.js
- wap.n.sh####.com/se/static/js/fusion/deps/aio_e0b46ac.js
- wap.n.sh####.com/se/static/js/fusion/deps/detect_d2dad8e.js
- wap.n.sh####.com/se/static/js/fusion/deps/fusion.best_5bb531c.js
- wap.n.sh####.com/se/static/js/fusion/deps/fusion_4f0fdee.js
- wap.n.sh####.com/se/static/js/fusion/deps/iscroll_d8d3456.js
- wap.n.sh####.com/se/static/js/fusion/deps/naboo_a0624f6.js
- wap.n.sh####.com/se/static/js/fusion/deps/spark_b19f474.js
- wap.n.sh####.com/se/static/js/log/exp_3f2b78d.js
- wap.n.sh####.com/se/static/js/log/taiji_behavior_c1b47d8.js
- wap.n.sh####.com/se/static/js/log/taiji_device_e473efa.js
- wap.n.sh####.com/se/static/js/modules/advanced_filter/advanced_filter_f5...
- wap.n.sh####.com/se/static/js/modules/baiduappFixedButton_3259d9b.js
- wap.n.sh####.com/se/static/js/modules/device_data_dep/h5_support_info_a9...
- wap.n.sh####.com/se/static/js/modules/device_data_dep/murmur3_f0342a1.js
- wap.n.sh####.com/se/static/js/modules/device_data_dep/support_fonts_2bb8...
- wap.n.sh####.com/se/static/js/modules/device_data_dep/zoom_info_654f3d2.js
- wap.n.sh####.com/se/static/js/modules/feedback/feedback_9121207.js
- wap.n.sh####.com/se/static/js/modules/safariicon/safariicon_7f10307.js
- wap.n.sh####.com/se/static/js/modules/vsl/vslUtil_4e9cf03.js
- wap.n.sh####.com/se/static/js/uiamd/bdbox/base_9f1bb21.js
- wap.n.sh####.com/se/static/js/uiamd/bdbox/follow_496a385.js
- wap.n.sh####.com/se/static/js/uiamd/bdbox/util_d0af61d.js
- wap.n.sh####.com/se/static/pmd/pmd/deps/detect_c8b750a.js
- wap.n.sh####.com/se/static/pmd/pmd/share/share_6ff579e.js
- wap.n.sh####.com/se/static/wiseatom/pagenav/pack_6eaba35.js
- wap.n.sh####.com/se/static/wiseatom/relative/pack_1f31b62.js
- wap.n.sh####.com/se/static/wiseatom/toprq/pack_d5a5662.js
- wap.n.sh####.com/static/search/iconfont/iconfont_58af466f.ttf
- wap.n.sh####.com/static/searchbox/openjs/share.js?v=####
- www.think####.cn/weather/weather.aspx?uid=####&cid=####&l=####&p=####&a=...
Запросы HTTP POST:
- an.ca.15####.cn//2ee719e451/zba
- i.a.15####.com//1ee719e4/zia
- i.a.15####.com//1ee719e4/zib
- ssl.ss####.cn/ssllq/ok121a2.jsp
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/1525276297964si.jar
- /data/data/####/_acosscwapz.xml
- /data/data/####/_cocosscwapr.xml
- /data/data/####/com.qsair.sscwap_preferences.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/index
- /data/data/####/po_download.db-journal
- /data/data/####/sscwapoc.jar
- /data/data/####/sscwapq.jar
- /data/data/####/txRes_1.4
- /data/data/####/txRes_1.4_Exec
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/wt.db-journal
- /data/data/####/yoappInfo_pre.xml
- /data/data/####/yoconf_pre.xml
- /data/data/####/yotrategy_pre.xml
- /data/media/####/.nomedia
Другие:
Запускает следующие shell-скрипты:
- chmod 700 <Package Folder>/files/txRes_1.4
- chmod 700 <Package Folder>/files/txRes_1.4_Exec
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- txRes_1
Использует следующие алгоритмы для шифрования данных:
- DES
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
