Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Panda.1.origin
- Adware.Plague.1.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) image-1####.i####.myqc####.com:80
- TCP(HTTP/1.1) api.iim####.cn:80
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) v1.ope####.cn:80
- TCP(HTTP/1.1) www.pan####.net:8080
- TCP(HTTP/1.1) loc.map.b####.com:80
- TCP(HTTP/1.1) api.s####.mob.com:80
Запросы DNS:
- a####.exc.mob.com
- and####.b####.qq.com
- ap.ga####.com
- ap1.ga####.com
- ap2.ga####.com
- api.iim####.cn
- api.s####.mob.com
- image-1####.i####.myqc####.com
- loc.map.b####.com
- pi####.qq.com
- v1.ope####.cn
- www.pan####.net
Запросы HTTP GET:
- image-1####.i####.myqc####.com/11000649/images/img/63713819.jpg?imageVi#...
- v1.ope####.cn/reliao?secret_key=####&action=####&id=####&w=####&h=####
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- and####.b####.qq.com/rqd/async
- api.iim####.cn/1/app/info
- api.s####.mob.com/conf4
- api.s####.mob.com/conn
- api.s####.mob.com/data2
- api.s####.mob.com/snsconf
- loc.map.b####.com/sdk.php
- v1.ope####.cn/reliao?secret_key=####&action=####
- www.pan####.net:8080/Mini/req.action?
- www.pan####.net:8080/banner/req.action?
- www.pan####.net:8080/fview/req.action?
- www.pan####.net:8080/lscr/reqmore?
- www.pan####.net:8080/nlock/request?
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.lock
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/WORLD_SHARED.xml
- /data/data/####/bugly_db_-journal
- /data/data/####/classes.jar
- /data/data/####/cn.jpush.serverconfig.xml
- /data/data/####/com.yuwenjin;GSID.xml
- /data/data/####/com.yuwenjin_preferences.xml
- /data/data/####/dbbwp-journal
- /data/data/####/iimedia_general_config.xml
- /data/data/####/iimedia_upload_seq.xml
- /data/data/####/mob_sdk_exception_1.xml
- /data/data/####/multidex.version.xml
- /data/data/####/pri_tencent_analysis.db-journal
- /data/data/####/s_oc_sp.xml
- /data/data/####/security_info
- /data/data/####/share_sdk_1.xml
- /data/data/####/sharesdk.db-journal
- /data/data/####/tencent_analysis.db-journal
- /data/media/####/.ba
- /data/media/####/.cuid
- /data/media/####/.dk
- /data/media/####/.lock
- /data/media/####/03159a43a32aab266dbac1d82f83c1e4.zip
- /data/media/####/63713819.png
- /data/media/####/journal.tmp
- /data/media/####/ls.db
- /data/media/####/ls.db-journal
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c type su
- getprop ro.board.platform
Загружает динамические библиотеки:
- Bugly
- MtaNativeCrash
- jpush173
- locSDK4
- neh
- vi_voslib
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- DES-ECB-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-ECB-NoPadding
- AES-GCM-NoPadding
- DES
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
