Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.258
- Android.Triada.266.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ptmgtd0####.wsclou####.com:80
- TCP(HTTP/1.1) c.m.1####.com:80
- TCP(HTTP/1.1) j####.Z####.COM:12956
Запросы DNS:
- b####.52####.com
- c.m.1####.com
- cms-bu####.n####.127.net
- j####.Z####.COM
- ksf.sd####.com
- kso.sd####.com
- ksr.sd####.com
Запросы HTTP GET:
- c.m.1####.com/nc/article/DH92E1FF000181BR/full.html
- c.m.1####.com/nc/article/headline/T1348647909107/0-20.html
- c.m.1####.com/nc/article/list/T1348649145984/0-20.html
- c.m.1####.com/nc/article/list/T1348654060988/0-20.html
- c.m.1####.com/nc/article/list/T1350383429665/0-20.html
- ptmgtd0####.wsclou####.com/1a52d588190d4539bae1486453c00fb42018050817483...
- ptmgtd0####.wsclou####.com/2011a105f72540c1a94ab59c9be84a352018050819560...
- ptmgtd0####.wsclou####.com/2890a208fe1a4778bb731416dcb754f32018050717244...
- ptmgtd0####.wsclou####.com/2e5f1d32bec7478bb27b3401955db3b02018050518341...
- ptmgtd0####.wsclou####.com/2e7795b7aefe4488993457d499b267e52018050821063...
- ptmgtd0####.wsclou####.com/369a95b4f510483fba2ebd03383971732018050415265...
- ptmgtd0####.wsclou####.com/4458cb18f85e4686b40261a59680ad2d2018050815452...
- ptmgtd0####.wsclou####.com/4f4a4833851240e3b54d6915ac49dc932018050813084...
- ptmgtd0####.wsclou####.com/69aaaeec0a3b4cb9977fd2167d79f6de2018050819065...
- ptmgtd0####.wsclou####.com/779fe9163beb4984ad52527f9a6739ea2018050819562...
- ptmgtd0####.wsclou####.com/a720796da6d74eed9480ef17dee444cc2018050419212...
- ptmgtd0####.wsclou####.com/ad96374eb04046cfb548fc366976a2e02018050719360...
- ptmgtd0####.wsclou####.com/d81336339d4e4bddbd0d533f2220244b2018050500401...
- ptmgtd0####.wsclou####.com/e04ded0d442b47f8b0b6a145fce4ae902018050822352...
- ptmgtd0####.wsclou####.com/ef8ce2e3489c46ef882fad8e1c9dbda82018050815331...
- ptmgtd0####.wsclou####.com/f1ca5238635e4ffe92e645cd707fc7c02018050822315...
- ptmgtd0####.wsclou####.com/fb2bd31c3d8c496eb047d16befdf72302018050619142...
- ptmgtd0####.wsclou####.com/fdc8b3c3be464e759fe29dbeec6a41c92018050715341...
Запросы HTTP POST:
- j####.Z####.COM:12956/fsds988d1e7f2c2c/interface.php
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- /data/data/####/.lock
- /data/data/####/082245c0d73fd8b388a5e518ba7dcc2263712405b47696b....0.tmp
- /data/data/####/16340dec6a9.apk
- /data/data/####/16340decb18.apk
- /data/data/####/16340dee315.apk
- /data/data/####/16340defb94.apk
- /data/data/####/1f62f7f3eca571b87beead90d65020bf0b140cb5e91d072....0.tmp
- /data/data/####/208ce2dc9f149112d70e92080bc8638aee861fcc9f5d48d....0.tmp
- /data/data/####/23f0aeef29c3083e830ae3a5170b411890adb2d1675d9ee....0.tmp
- /data/data/####/2ba536287ac7266a8de3b34919eefc265050ea5ee096e33....0.tmp
- /data/data/####/3232e571e35473d4369e6597736af13d6ffc022b4d0cb3f....0.tmp
- /data/data/####/402465D6481A27926B0B1FA192FFAE22.apk (deleted)
- /data/data/####/402465D6481A27926B0B1FA192FFAE22.dat
- /data/data/####/402465D6481A27926B0B1FA192FFAE22.odex
- /data/data/####/4b2e39b882f741fb5cefeaab6b67c1452a68f4dbb57b8e6....0.tmp
- /data/data/####/89d7612f0336f45a4964feb06518a21ee5ef75aa776c299....0.tmp
- /data/data/####/96e56a0fa309851d5fc4275312bfef39cf2ef3df621bf9c....0.tmp
- /data/data/####/a2256025c151ba4d43c9dce17fb03f79e1df60edcba1396....0.tmp
- /data/data/####/a5ff3ccf40e8611d5a34547d5c57ae4de11587cd22db0f2....0.tmp
- /data/data/####/a714544b2b58970f022cbc7080a92762c50a49291404ded....0.tmp
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/config.xml
- /data/data/####/d813cea60aed5138dafe0e9308b04f88bacb504b5e388b9....0.tmp
- /data/data/####/db5d3a8a405774d69561819115b74783c5bfa9d869ea28c....0.tmp
- /data/data/####/e1fbaa3cf4c6a9b2eb6e87cb1c3c570838ab7426fd1f31f....0.tmp
- /data/data/####/e513f6369d28360432ea60f986ec992690591b82be227b5....0.tmp
- /data/data/####/f0f4d69a46b1012b733f92e1d0d0e82ceeaf4346cf95ebd....0.tmp
- /data/data/####/f326739cc84fafbd6a19e19222a994c5b99d9c8ddf26f7b....0.tmp
- /data/data/####/hgrf
- /data/data/####/hgrf.jar
- /data/data/####/journal.tmp
- /data/data/####/libdexprotector.so
- /data/data/####/mzqz.png
- /data/data/####/ru
- /data/data/####/ru.apk
- /data/data/####/umeng_general_config.xml
- /data/data/####/xapcinfo.xml
Другие:
Запускает следующие shell-скрипты:
- conbb od2gf04pd9
- cufsdosck ac554db364f
- cufsmgr eb47495f7bb
- service call appops 0 i32 15 i32 10043 s16 <Package> i32 0
- service call appops 1 i32 15 i32 10043 s16 <Package> i32 0
- service call appops 10 i32 15 i32 10043 s16 <Package> i32 0
- service call appops 11 i32 15 i32 10043 s16 <Package> i32 0
- service call appops 12 i32 15 i32 10043 s16 <Package> i32 0
- service call appops 13 i32 15 i32 10043 s16 <Package> i32 0
- service call appops 14 i32 15 i32 10043 s16 <Package> i32 0
- service call appops 15 i32 15 i32 10043 s16 <Package> i32 0
- service call appops 16 i32 15 i32 10043 s16 <Package> i32 0
- service call appops 17 i32 15 i32 10043 s16 <Package> i32 0
- service call appops 18 i32 15 i32 10043 s16 <Package> i32 0
- service call appops 19 i32 15 i32 10043 s16 <Package> i32 0
- service call appops 2 i32 15 i32 10043 s16 <Package> i32 0
- service call appops 3 i32 15 i32 10043 s16 <Package> i32 0
- service call appops 4 i32 15 i32 10043 s16 <Package> i32 0
- service call appops 5 i32 15 i32 10043 s16 <Package> i32 0
- service call appops 6 i32 15 i32 10043 s16 <Package> i32 0
- service call appops 7 i32 15 i32 10043 s16 <Package> i32 0
- service call appops 8 i32 15 i32 10043 s16 <Package> i32 0
- service call appops 9 i32 15 i32 10043 s16 <Package> i32 0
- sh
Загружает динамические библиотеки:
- libdexprotector
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Отрисовывает собственные окна поверх других приложений.
Осуществляет доступ к информации об отправленых/принятых смс.
