Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.RemoteCode.155.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) c####.baidust####.com:80
- TCP(HTTP/1.1) c####.meme####.com:80
- TCP(HTTP/1.1) api.meme####.com:80
- TCP(HTTP/1.1) mobads-####.b####.com:80
- TCP(HTTP/1.1) idu####.qini####.com:80
- TCP(HTTP/1.1) mo####.b####.com:80
- TCP(HTTP/1.1) ub####.baidust####.com:80
- TCP(HTTP/1.1) wn.pos.b####.com:80
- TCP(HTTP/1.1) zt-adfi####.oss-cn-####.aliy####.com:80
- TCP(HTTP/1.1) www.m####.com:80
- TCP(HTTP/1.1) r####.uu.qq.com:80
- TCP(TLS/1.0) regi####.xm####.xi####.com:443
Запросы DNS:
- api.meme####.com
- c####.baidust####.com
- c####.meme####.com
- img.safetys####.mobi
- img.su####.com
- mo####.b####.com
- mobads-####.b####.com
- r####.uu.qq.com
- regi####.xm####.xi####.com
- ub####.baidust####.com
- wn.pos.b####.com
- ws.meme####.com
- www.m####.com
- zt-adfi####.oss-cn-####.aliy####.com
Запросы HTTP GET:
- api.meme####.com/activity/packet_list
- api.meme####.com/app/index
- api.meme####.com/properties/list
- api.meme####.com/public/blackword_list/0
- api.meme####.com/public/blackword_list/1
- api.meme####.com/public/inform?size=####&type=####
- api.meme####.com/public/poster/2
- api.meme####.com/public/room_list?page=####&live=####&size=####&sort=####
- api.meme####.com/public/t_hex
- api.meme####.com/show/bell_gift_list
- api.meme####.com/show/cars_list
- api.meme####.com/show/gift_list
- api.meme####.com/zone/mission_num
- c####.baidust####.com/cpro/ui/noexpire/img/tpclicked3_footer.png
- idu####.qini####.com/11/3/1404114377739.jpg
- idu####.qini####.com/11/3/1485169680971.jpg
- idu####.qini####.com/12/4/1404114730316.jpg
- idu####.qini####.com/12/4/1438840897548.jpg
- idu####.qini####.com/12/4/1495002759820.jpg
- idu####.qini####.com/13/5/1404114930829.jpg
- idu####.qini####.com/13/5/1429582714317.jpg
- idu####.qini####.com/13/5/1461739023373.jpg
- idu####.qini####.com/13/5/1492522388813.jpg
- idu####.qini####.com/14/6/1493348043470.jpg
- idu####.qini####.com/17/1/1486433151121.jpg
- idu####.qini####.com/17/1/1494842897425.jpg
- idu####.qini####.com/18/2/1433988334482.jpg
- idu####.qini####.com/2/2/1490841039042.jpg
- idu####.qini####.com/20/4/1433988048788.jpg
- idu####.qini####.com/20/4/1492536061844.jpg
- idu####.qini####.com/22/6/1453881002134.jpg
- idu####.qini####.com/23/7/1442305926679.jpg
- idu####.qini####.com/24/0/1480556318040.jpg
- idu####.qini####.com/25/1/1493376825241.jpg
- idu####.qini####.com/27/3/1408010576603.jpg
- idu####.qini####.com/27/3/1492522345371.jpg
- idu####.qini####.com/28/4/1404113697308.jpg
- idu####.qini####.com/28/4/1464341461148.jpg
- idu####.qini####.com/3/3/1438841119811.jpg
- idu####.qini####.com/30/6/1404115010078.jpg
- idu####.qini####.com/30/6/1485169565598.jpg
- idu####.qini####.com/31/7/1493376986335.jpg
- idu####.qini####.com/33/1/1407985123169.jpg
- idu####.qini####.com/34/2/1404113259106.jpg
- idu####.qini####.com/34/2/1500343522786.jpg
- idu####.qini####.com/35/3/1490841105507.jpg
- idu####.qini####.com/35/3/1492522643811.jpg
- idu####.qini####.com/35/3/1492534807267.jpg
- idu####.qini####.com/35/3/1498551790819.jpg
- idu####.qini####.com/36/4/1435644545252.jpg
- idu####.qini####.com/36/4/1493376841764.jpg
- idu####.qini####.com/38/6/1492522828390.jpg
- idu####.qini####.com/39/7/1443163432551.jpg
- idu####.qini####.com/40/0/1404114988584.jpg
- idu####.qini####.com/40/0/1441590005416.jpg
- idu####.qini####.com/41/1/1492522470441.jpg
- idu####.qini####.com/42/2/1404113474090.jpg
- idu####.qini####.com/43/3/1415844338219.jpg
- idu####.qini####.com/44/4/1493376914860.jpg
- idu####.qini####.com/45/5/1492765784685.jpg
- idu####.qini####.com/47/7/1446715722479.jpg
- idu####.qini####.com/48/0/1442211575216.jpg
- idu####.qini####.com/48/0/1442456402160.jpg
- idu####.qini####.com/49/1/1441792300401.jpg
- idu####.qini####.com/5/5/1493376857477.jpg
- idu####.qini####.com/51/3/1404113662771.jpg
- idu####.qini####.com/53/5/1404113732021.jpg
- idu####.qini####.com/56/0/1501830032760.jpg
- idu####.qini####.com/57/1/1441534642361.jpg
- idu####.qini####.com/58/2/1492522201210.jpg
- idu####.qini####.com/58/2/1498638914490.jpg
- idu####.qini####.com/6/6/1432694554502.jpg
- idu####.qini####.com/60/4/1438829246268.jpg
- idu####.qini####.com/60/4/1490841324412.jpg
- idu####.qini####.com/61/5/1503651163581.jpg
- idu####.qini####.com/62/6/1492767020670.jpg
- idu####.qini####.com/63/7/1443428799487.jpg
- idu####.qini####.com/63/7/1503554774655.jpg
- idu####.qini####.com/9/1/1422624662729.jpg
- mo####.b####.com/ads/_dp.htm
- mo####.b####.com/cpro/ui/mads.php?code2=####
- mo####.b####.com/favicon.ico
- mo####.b####.com/wall/&v=my4bThqGuZI9UAkxni31n7tzQWn8Pifb&extra2=nj0snjD...
- mo####.b####.com/wall/img/back.png
- mo####.b####.com/wall/img/feedback_icon.png
- mo####.b####.com/wall/img/help-down.png
- mo####.b####.com/wall/img/help_icon.png
- mo####.b####.com/wall/img/loading.gif
- mo####.b####.com/wall/img/mean.png
- mo####.b####.com/wall/js/w.js
- mo####.b####.com/wall/pa/__pasys_remote_offer_wall.jar
- mo####.b####.com/wall/pa/__pasys_remote_offer_wall.php?v=####&tp=####&os...
- mo####.b####.com/wall/wall.appcache
- mo####.b####.com/wall/wall.htm?v=####
- mobads-####.b####.com/ad.log?url2=####&v=####&extra2=####&sn=####&openid...
- mobads-####.b####.com/ads/_dp.htm
- mobads-####.b####.com/dz.zb?type=####&sn=####&t=####&p=####
- ub####.baidust####.com/media/v1/0f000FTnLhbY0l4XJiAy46.jpg
- ub####.baidust####.com/media/v1/0f000QvhVeRfi-tCAA3750.jpg
- wn.pos.b####.com/adx.php?c=####&ext=####
- www.m####.com/tools/GetSearchKeyList.aspx?pagesize=####
- www.m####.com/tools/getcity.aspx
- zt-adfi####.oss-cn-####.aliy####.com/1512/rt/gx.bin
Запросы HTTP POST:
- c####.meme####.com/web/index.php?/ums/po####
- r####.uu.qq.com/rqd/sync
- www.m####.com/tools/GetVersionEx.aspx
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.engine.apk
- /data/data/####/.key.apk
- /data/data/####/AllRoomList
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/BANNER
- /data/data/####/BELL_GIFT_LIST
- /data/data/####/CHEST_GIFT_LIST
- /data/data/####/CobubRazor_SharedPref.xml
- /data/data/####/GIFT_LIST
- /data/data/####/KEY_WORD
- /data/data/####/MISSION_COUNT
- /data/data/####/MOUNT_MALL
- /data/data/####/PLAZA_DATA
- /data/data/####/PROPERTIES_LIST
- /data/data/####/RECHARGE_AWARD
- /data/data/####/RED_PACKET_LIST
- /data/data/####/SENSITIVE_WORD
- /data/data/####/WebpageIcons.db-journal
- /data/data/####/__pasys_remote_offer_wall.jar.beforesign.tm
- /data/data/####/__pasys_remote_offer_wall.tmp.jar
- /data/data/####/android_pre.xml
- /data/data/####/bugly_db_-journal
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cobub.cache
- /data/data/####/com.mobilewindow_XP_preferences.xml
- /data/data/####/commobilewindow_XP
- /data/data/####/config.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/flag
- /data/data/####/gx
- /data/data/####/http_mobads.baidu.com_0.localstorage-journal
- /data/data/####/index
- /data/data/####/last_cache_time
- /data/data/####/launcher.db-journal
- /data/data/####/launcher.preferences
- /data/data/####/libcrypt.so
- /data/data/####/libloader.so
- /data/data/####/mipush.xml
- /data/data/####/mipush_extra.xml
- /data/data/####/mobclick_agent_cached_com.mobilewindow_XP20160812
- /data/data/####/shell_pre.xml
- /data/data/####/show.db-journal
- /data/data/####/temp.jar
- /data/data/####/umeng_general_config.xml
- /data/data/####/updateVersion2.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.commobilewindow_XP
- /data/media/####/.nomedia
- /data/media/####/003a63ac35a4abb2682006c425301d29.tmp
- /data/media/####/03c74f856738cca9a2588caeb9b4dd44.tmp
- /data/media/####/0741a1a2f132f8d2042b230f45fa363f.tmp
- /data/media/####/0917fc2ee5214b7f3e391c2e86c42d4d.tmp
- /data/media/####/0ccb5114363c1aaff0eae438830d8e41.tmp
- /data/media/####/10f2da58401c491a31734f02df6c2091.tmp
- /data/media/####/122d6ea5d8802acdbf8cde8c6bd0101d.tmp
- /data/media/####/15872ce8e587d00dce665b6b5b4031e2.tmp
- /data/media/####/16fe23ab70e74be86f27e58207a1ddd8.tmp
- /data/media/####/180cd43f832265830158df87b77d7cca.tmp
- /data/media/####/1912b39b47e7d784ff9e6e4401a2fbe6.tmp
- /data/media/####/1aa45273480b11a2a02f94e123c60c2b.tmp
- /data/media/####/1dc7a0c51b797e0dea56e1a0b734cd3e.tmp
- /data/media/####/20b0b26a0dd17c5064d2bf33cf383712.tmp
- /data/media/####/308a0c0486e05b5d8a973d7cacc588e7.tmp
- /data/media/####/320d82846c2cf1dab04df103b759f5ca.tmp
- /data/media/####/3bf015aabfe0b451c30e16bba52c6f5a.tmp
- /data/media/####/3e9735b7c5feecf55c1d792798145b9f.tmp
- /data/media/####/42e88ab413fe05003ab095510a197dc6.tmp
- /data/media/####/43e23fd3b22079b6e73f28dbe19bf2cd.tmp
- /data/media/####/44b4a13839bc2f8462c3a0f57557495f.tmp
- /data/media/####/45ke9psisp8ofwne9e9wulsz2
- /data/media/####/45ke9psisp8ofwne9e9wulsz2.tmp
- /data/media/####/499f9e322cfaf69bdcc7f0f06d9517c6.tmp
- /data/media/####/49d97af79a54049db74bcd7a6101a0c7.tmp
- /data/media/####/4bf6fec57ef1dcf7631b9b47b4470ceb.tmp
- /data/media/####/4c56e1dad7e1f82ca93de1aaf3e66881.tmp
- /data/media/####/4zj4lul7kpfsk6i3axns970x4
- /data/media/####/4zj4lul7kpfsk6i3axns970x4.tmp
- /data/media/####/53d94704583f9063c57fceed7e21677a.tmp
- /data/media/####/5643d254841aea1ff23d34afcd2081bc.tmp
- /data/media/####/5f8f25df732bc987633840d815b82069.tmp
- /data/media/####/68cd67bc014b1a54833bfe65d5545cbc.tmp
- /data/media/####/6de519f204d879d284de5d86a477802a.tmp
- /data/media/####/6e4e0d52fbfad9c8d09b141c1c728b18.tmp
- /data/media/####/6ef2918ea71b0ad15173eec12d6f7eae.tmp
- /data/media/####/73374ce881f699a00170c6c65b55b336.tmp
- /data/media/####/78f8c1075332ea692601299a45d47f93.tmp
- /data/media/####/7dda7554562d56d652f59ce06340f7ad.tmp
- /data/media/####/7ee0bd8f0911d5964fc742be3c06d03c.tmp
- /data/media/####/7f88bf23ed2553374459b7e85b6b77d2.tmp
- /data/media/####/860b9a3c411f5d53aee22e2fa20b80d1.tmp
- /data/media/####/869e8fe73a722cfffac59b9385da8de6.tmp
- /data/media/####/8bc566d199a31aec9316c275a3468ca9.tmp
- /data/media/####/8e68c566023d4a89d10da48519751319.tmp
- /data/media/####/94b127ec9b0b5372b00c067c777f8df5.tmp
- /data/media/####/97dd6d8c02250ce39684e659d1af4931.tmp
- /data/media/####/99675d541f64ff97d2451074ba7e1e3c.tmp
- /data/media/####/9979ed23b48ada74dc562fe84ab8a41a.tmp
- /data/media/####/9aa11fb9dc84d557be1c3fe2442a2a1a.tmp
- /data/media/####/ac95960639dbe65e89f6121d79179673.tmp
- /data/media/####/adeaebab2c8faf6e568bb2face23474d.tmp
- /data/media/####/af08cde4e56cbc664559539cb70b5204.tmp
- /data/media/####/b0ab363e0851235a63059ed447633fa2.tmp
- /data/media/####/b0eff06b9ce7b1e2c7b6cf8c6ec5dd27.tmp
- /data/media/####/ba732d7f274e3aa3ce09ea7192f5fa66.tmp
- /data/media/####/c1350429f955cfb23de752bfd63847d0.tmp
- /data/media/####/c5d9bc25f1f261420a5213488061da3c.tmp
- /data/media/####/cdb038dedaa9201027745e7dece470f7.tmp
- /data/media/####/cdfe164bc000b76000527e9cb04284cf.tmp
- /data/media/####/d4435119712305fdcbfd02ea6fc15139.tmp
- /data/media/####/d74a304329bef98ecdc396c96ebbaa40.tmp
- /data/media/####/da454718512f1a952ffe0083d8a46783.tmp
- /data/media/####/e2b1de02b37f6208f68ab7973ff5a005.tmp
- /data/media/####/e920d27f18a224b891e03b566dffb16f.tmp
- /data/media/####/ec35710ae4ef57a5522e33253066a5cc.tmp
- /data/media/####/f19231c964ca8f5cb43a5b9b9890df92.tmp
- /data/media/####/f4417f577ebe2a57529b8c801d63706e.tmp
- /data/media/####/f5ccef606272ac63f035034abd6ebad1.tmp
- /data/media/####/sys_nicholas.txt
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.board.platform
- cat /proc/version
- cat /sys/class/net/wlan0/address
- chmod 777 <Package Folder>/files/gxTmp
- chmod 777 <Package Folder>/files/gxTmp/gx
- getprop ro.board.platform
Загружает динамические библиотеки:
- Bugly
- crypt
- libloader
- msc
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
- DES
- DES-CBC-PKCS5Padding
- RSA-ECB-PKCS1Padding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Осуществляет доступ к информации о телефонных контактах.
