Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.455.origin
- Android.DownLoader.675.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) c.hiph####.b####.com:80
- TCP(HTTP/1.1) a.hiph####.b####.com:80
- TCP(HTTP/1.1) m.v.b####.com:80
- TCP(HTTP/1.1) www.a.sh####.com:80
- TCP(HTTP/1.1) h####.b####.com:80
- TCP(HTTP/1.1) d.sin####.cn.####.net:80
- TCP(HTTP/1.1) t####.b####.com:80
- TCP(HTTP/1.1) b.hiph####.b####.com:80
- TCP(HTTP/1.1) pc.videoc####.b####.com:80
- TCP(HTTP/1.1) app.v####.b####.com:80
- TCP(HTTP/1.1) ba####.b####.com:80
- TCP(HTTP/1.1) app.i####.b####.com:80
- TCP(HTTP/1.1) wap.n.sh####.com:80
- TCP(HTTP/1.1) c####.b####.com:80
- TCP(HTTP/1.1) vo####.xiao####.com.####.com:80
- TCP(HTTP/1.1) i####.b####.com:80
- TCP(HTTP/1.1) vsst####.jom####.com:80
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) 1####.217.20.78:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) hm.b####.com:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) adser####.go####.com:443
- TCP t3.jz####.com:7103
- TCP p2.jz####.com:7802
- TCP p1.jz####.com:7801
- TCP t1.jz####.com:7102
- TCP t1.jz####.com:7101
Запросы DNS:
- a.hiph####.b####.com
- adser####.go####.com
- app.i####.b####.com
- app.v####.b####.com
- b.hiph####.b####.com
- ba####.b####.com
- c####.b####.com
- c.hiph####.b####.com
- d.hiph####.b####.com
- e.hiph####.b####.com
- f.hiph####.b####.com
- g####.b####.com
- g.hiph####.b####.com
- h####.b####.com
- hm.b####.com
- i####.b####.com
- m.b####.com
- m.v.b####.com
- p1.jz####.com
- p2.jz####.com
- p3.jz####.com
- pc.videoc####.b####.com
- ssl.gst####.com
- t####.b####.com
- t1.jz####.com
- t2.jz####.com
- t3.jz####.com
- tjs.sjs.si####.cn
- vo####.xiao####.com
- vs3.bdst####.com
- vs5.bdst####.com
- vs6.bdst####.com
- www.b####.com
- www.go####.com
- www.go####.nl
- www.gst####.com
Запросы HTTP GET:
- a.hiph####.b####.com/video/pic/item/09fa513d269759eed40f6b80befb43166d22...
- a.hiph####.b####.com/video/pic/item/0b7b02087bf40ad14e6a1ea95b2c11dfa8ec...
- a.hiph####.b####.com/video/pic/item/0dd7912397dda144f93255f9beb7d0a20cf4...
- a.hiph####.b####.com/video/pic/item/10dfa9ec8a136327afe5a5789d8fa0ec08fa...
- a.hiph####.b####.com/video/pic/item/342ac65c1038534393605c7b9f13b07eca80...
- a.hiph####.b####.com/video/pic/item/359b033b5bb5c9eae1a461a8d939b6003af3...
- a.hiph####.b####.com/video/pic/item/4034970a304e251f32dad5b3ab86c9177f3e...
- a.hiph####.b####.com/video/pic/item/71cf3bc79f3df8dce71a3ac9c111728b4710...
- a.hiph####.b####.com/video/pic/item/7acb0a46f21fbe098b98af5d67600c338644...
- app.i####.b####.com/getversion.php?appname=####&version=####&buildid=###...
- app.v####.b####.com/adnativeindex/?req=####&version=####&mtj_cuid=####&m...
- app.v####.b####.com/andformatmap/?wid=####&type=####&episode=####
- app.v####.b####.com/static/video/vstuiguang/iosvstuiguang.js?callback=##...
- app.v####.b####.com/static/video/vstuiguang/vstuiguang.js?callback=####&...
- b.hiph####.b####.com/video/pic/item/1e30e924b899a90167bd887011950a7b0308...
- b.hiph####.b####.com/video/pic/item/d009b3de9c82d158941b28f68c0a19d8bd3e...
- ba####.b####.com/pc_static/yy_active_min_video_coop.js
- ba####.b####.com/static/page/video-logo.jpg
- ba####.b####.com/watch/4772644679498490479.html
- c####.b####.com/js/m.js
- c.hiph####.b####.com/video/pic/item/0823dd54564e9258ca67cea79082d158ccbf...
- c.hiph####.b####.com/video/pic/item/d4628535e5dde711a4143facabefce1b9c16...
- d.sin####.cn.####.net/open/api/js/wb.js
- m.v.b####.com/static/webapp/static/js/mod_2b1d325.js
- m.v.b####.com/watch/4772644679498490479.html?&type=####&fr=####
- pc.videoc####.b####.com/p.gif?pid=104&pr=nwebapp&os=android&tpl=web_play...
- t####.b####.com/timg?v####&quality=####&size=####&sec=####&di=####&src=#...
- t####.b####.com/timg?v####&size=####&quality=####&di=####&sec=####&src=h...
- vo####.xiao####.com.####.com/189a4bd5dab17ccd21b21e73cea77d71
- vo####.xiao####.com.####.com/2c495bc76a4b53c379ffa64e44b90c9b
- vo####.xiao####.com.####.com/3f64d2461e02a8bc3b0576bcf1a46d4f
- vo####.xiao####.com.####.com/679b8422e9581c1caee2f000e6d5d36c
- vo####.xiao####.com.####.com/6ef10b03444acaf85bea08f450905b5d
- vo####.xiao####.com.####.com/7c6faee3ab958bfedbc4b9e438f146b0
- vo####.xiao####.com.####.com/909c507045899095f5071f60b4c5bb45
- vo####.xiao####.com.####.com/f3ef98964cc62c6b7d0a923a83c6e24b
- vsst####.jom####.com/browse_static/v3/common/pkg/common_66cea1c3.js
- vsst####.jom####.com/browse_static/v3/common/pkg/common_ui_9135c1fe.css
- vsst####.jom####.com/browse_static/v3/common/pkg/common_ui_video_29f2ef3...
- vsst####.jom####.com/browse_static/v3/common/pkg/common_video_fd3b60bb.js
- vsst####.jom####.com/browse_static/v3/common/pkg/libs_7da62fc0.js
- vsst####.jom####.com/browse_static/v3/common/widget/global/admLoader/mai...
- vsst####.jom####.com/browse_static/v3/play/page/layout_afe8d7b.css
- vsst####.jom####.com/browse_static/v3/play/page/short_6c9637d.css
- vsst####.jom####.com/browse_static/v3/play/pkg/play_32f33bb.css
- vsst####.jom####.com/browse_static/v3/play/pkg/play_js_aaf11c8.js
- vsst####.jom####.com/n/static/webapp/static/pkg/common_180c677.css
- vsst####.jom####.com/n/static/webapp/static/pkg/page_bb57962.js
- vsst####.jom####.com/n/static/webapp/static/pkg/vendor_6701670.js
- vsst####.jom####.com/n/static/webapp/static/pkg/widget_8a5a734.js
- vsst####.jom####.com/n/static/webapp/static/pkg/widget_ac1c3c3.css
- wap.n.sh####.com/video?static=####&mtj_cuid=####&mtj_timestamp=####
- www.a.sh####.com/search/error.html
- www.a.sh####.com/tc?m=####&video_app=####&ajax=####&src=####
Запросы HTTP POST:
- app.v####.b####.com/adapp_static/clientconfig/json/cfg.json/?appname=###...
- app.v####.b####.com/adapp_static/clientconfig/json/nav_3.6.json/?appname...
- app.v####.b####.com/urlsniffer/
- app.v####.b####.com/utf8_data/android_channel/start_logo.js/?appname=###...
- h####.b####.com/app.gif
- i####.b####.com/r?qt=####&ap=####&os=####&ak=####
- wap.n.sh####.com/open/iasdk?cuid=####&cua=####&cut=####&sdfrom=####&lcid...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/15253784990830.jar
- /data/data/####/15253784999399.jar
- /data/data/####/E_ID356507059351895.db-journal
- /data/data/####/__Baidu_Stat_SDK_SendRem.xml
- /data/data/####/__local_last_session.json
- /data/data/####/__local_stat_cache.json
- /data/data/####/application.xml
- /data/data/####/bdplayer_database-journal
- /data/data/####/bdvideo.xml
- /data/data/####/bids.xml
- /data/data/####/coni_io_356507059351895.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/db_d.db-journal
- /data/data/####/desai.gaoqing.mianfei.yingshi.push_sync.xml
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/i.xml
- /data/data/####/i_fionf_pre356507059351895.xml
- /data/data/####/i_fionf_pre356507059351895.xml.bak
- /data/data/####/iappInfo_io_356507059351895.xml
- /data/data/####/index
- /data/data/####/itrategy_io_356507059351895.xml
- /data/data/####/md5.tmp
- /data/data/####/pst.xml
- /data/data/####/splash.tmp
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.cuid
- /data/media/####/.nomedia
- /data/media/####/14te1jdmnumu1cz6ug619qwxl
- /data/media/####/1bqktvb7zcaodjmauj3ndk1oh
- /data/media/####/1gbkfwa4siq2i6j798yruaawg
- /data/media/####/1vil4jts0jd0d7vi0xrvw8ztz
- /data/media/####/2438t1pydb8z7id0eksfxdozd
- /data/media/####/37s7i0bc2y76ugni81oky5i83
- /data/media/####/3m39786xw2j8zrp0q9501tnbr
- /data/media/####/3n5a328ic2431rd4a5smmms1j
- /data/media/####/4f8riysazb7igvyxghsp0rw39
- /data/media/####/4yrhcsl2tmxurfjg7ghlfogox
- /data/media/####/510pww8iog1hbt34nx7hua7vi
- /data/media/####/5477rhfkdcssj9xabhd5xai99
- /data/media/####/5o3z8p6kc7j7qnpzhleaoz9np
- /data/media/####/5sw9qjy9otvsnhhzo6lz257rw
- /data/media/####/66wy7nguj4zusyl5h7v5jhn2u
- /data/media/####/6kq4b4s469yugui92n9t44l7f
- /data/media/####/6wextsswl4s5bodoyciogen2v
- /data/media/####/7cfs2ngx7xi4pvavf7g51gg7e
- /data/media/####/7d7kzjifw3cj2j8d4lc0jlchm
- /data/media/####/i6z7j17g8u66ljx1ltzw7s1n
Другие:
Запускает следующие shell-скрипты:
- mount
Загружает динамические библиотеки:
- p2p-jni
- stlport_shared
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- DES
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
