Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Ninebox.4.origin
- Android.DownLoader.396.origin
- Android.DownLoader.576.origin
- Android.DownLoader.675.origin
- Android.DownLoader.698.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a.i####.pp.cn:80
- TCP(HTTP/1.1) h####.ali####.com:80
- TCP(HTTP/1.1) c####.m.pp.cn:80
- TCP(HTTP/1.1) o####.sjzs####.2####.com:80
- TCP(HTTP/1.1) sjzs####.2####.com:80
- TCP(HTTP/1.1) p.nin####.cn:80
- TCP(HTTP/1.1) android####.2####.com:80
- TCP(HTTP/1.1) server####.ac.uc.cn:80
- TCP(HTTP/1.1) api.o####.uc.cn:80
- TCP(HTTP/1.1) gm.ny####.com.####.com:80
- TCP(HTTP/1.1) a####.m.ta####.com:80
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) adser####.go####.com:443
- TCP k2.yo####.com:7502
- TCP k2.yo####.com:7503
- TCP s1.u####.com:7801
- TCP p3.i####.com:7803
- TCP s1.u####.com:7702
- TCP s1.u####.com:7802
- TCP s1.u####.com:7701
- TCP k1.yo####.com:7501
- TCP s3.u####.com:7703
Запросы DNS:
- a####.m.ta####.com
- a.i####.pp.cn
- adser####.go####.com
- android####.2####.com
- android####.2####.com
- api.o####.uc.cn
- c####.m.pp.cn
- c.nin####.cn
- gm.ny####.com
- h####.ali####.com
- img.u####.pp.####.cn
- k1.yo####.com
- k2.yo####.com
- k3.yo####.com
- o####.sjzs####.2####.com
- p.nin####.cn
- p1.i####.com
- p2.i####.com
- p3.i####.com
- s.nin####.cn
- s1.u####.com
- s2.u####.com
- s3.u####.com
- se####.m.pp.cn
- server####.ac.uc.cn
- sjzs####.2####.com
- ssl.gst####.com
- www.go####.com
- www.go####.nl
- www.gst####.com
Запросы HTTP GET:
- a.i####.pp.cn/fs08/2016/09/21/0/33911d2747a8d58da89919688e2f9fb1.png
- a.i####.pp.cn/fs08/2016/09/21/1/79f2186917a8a4f1640514656c302aa1.png
- a.i####.pp.cn/fs08/2016/09/21/10/3ff066186c020b2212f55499c359b88f.png
- a.i####.pp.cn/fs08/2016/09/21/11/d04aa5754f8e76db8cb0d3654edf00b2.png
- a.i####.pp.cn/fs08/2016/09/21/8/fb2b799d5ad57111ab7c44902e098bc7.png
- a.i####.pp.cn/fs08/2018/05/02/3/94be361aa562febca469b0f57bfbc3b4.jpg
- a.i####.pp.cn/fs08/2018/05/02/5/2f28b330ed061f705b9999d8659e0192.jpg
- a.i####.pp.cn/fs08/2018/05/02/6/44844f219bba2844abcb8411503f1bd1.jpeg
- a.i####.pp.cn/fs08/2018/05/02/6/4d01f8f161e0414fdef0e9bd0795807a.jpg
- android####.2####.com/fs04/2015/08/14/4/15f7b8baf5aeecb8a77b02462872c539...
- android####.2####.com/fs08/2016/06/08/5/1_b85000ee32fae7d7627555ae2a575f...
- android####.2####.com/fs08/2017/01/06/1/115_a7c8e67666eddd40c3555a52b5e1...
- android####.2####.com/fs08/2017/08/01/2/115_3c6dba6438b9d150ba8464dd089a...
- android####.2####.com/fs08/2018/04/18/0/1_7a2f17b7f3d0b64293c76acfc3c841...
- android####.2####.com/fs08/2018/04/23/11/110_0281c41e06c06970f6d99db6969...
- android####.2####.com/fs08/2018/04/23/2/110_4ef234e9377f3368c3c32537c21e...
- android####.2####.com/fs08/2018/04/24/5/110_482aea4af6f98446d8097c9650c2...
- android####.2####.com/fs08/2018/04/27/3/109_83293b0a433471dca789dd086b1b...
- android####.2####.com/fs08/2018/04/27/6/109_8f6f5c1821cb3541d78032d4b0c1...
- android####.2####.com/fs08/2018/05/07/8/110_91b78c17789be7af41caecc8f6ed...
- android####.2####.com/upload_files/common/app-icon-default.png
- api.o####.uc.cn/nbi/queryPrint?cid=####&data=####&uid=####&sid=####&call...
- c####.m.pp.cn/public/specials/3/?ch=####&sid=####&theme=####&listType=##...
- c####.m.pp.cn/public/specials/3/index.css?4ecadb3####
- c####.m.pp.cn/public/specials/3/index.js?4ecadb3####
- c####.m.pp.cn/upload_files/specials/3/stencil-info-wall-3-btn-1.png
- gm.ny####.com.####.com/download/advert/QQyueduyishengyueduhuoban/2601.jpg
- gm.ny####.com.####.com/download/advert/QQyueduyishengyueduhuoban/2602601...
- gm.ny####.com.####.com/download/sci/21.png
- o####.sjzs####.2####.com/api/proxyNew?urlKey=####&specialId=####&svr=###...
- server####.ac.uc.cn/special/template/1524898639040_163483.jpg
- sjzs####.2####.com/relay/download/plugin?url=ito####
Запросы HTTP POST:
- a####.m.ta####.com/rest/gc?ak=####&av=####&c=####&v=####&s=####&d=####&s...
- a####.m.ta####.com/rest/sur?ak=####&av=####&c=####&v=####&s=####&d=####&...
- h####.ali####.com/utdid_pp_helper/get_aid/?auth[token]=####&type=####&id...
- o####.sjzs####.2####.com/api/logmd.upload
- o####.sjzs####.2####.com/api/op.rec.app.checkUpdate
- p.nin####.cn/admin/bcp.action?requestId=####
- p.nin####.cn/admin/nbad.action
- p.nin####.cn/admin/sc.action?requestId=####
- sjzs####.2####.com/api/client.plugin.sync
- sjzs####.2####.com/api/combine
- sjzs####.2####.com/api/log.getSecurityId
- sjzs####.2####.com/api/log.setPromoter
- sjzs####.2####.com/api/log.upload
- sjzs####.2####.com/api/op.ad.getAds
- sjzs####.2####.com/api/op.ad.getAdses
- sjzs####.2####.com/api/op.config.getSplashScreenConfig
- sjzs####.2####.com/api/op.config.list
- sjzs####.2####.com/api/op.rec.app.getHotApps
- sjzs####.2####.com/api/op.task.list
- sjzs####.2####.com/api/resource.app.checkUpdateV1
- sjzs####.2####.com/api/resource.gift.getInstalledGift
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/1525870336168.jar
- /data/data/####/1525870336185.jar
- /data/data/####/1525870336199.jar
- /data/data/####/1525870336275.jar
- /data/data/####/1525870336332.jar
- /data/data/####/Alvin2.xml
- /data/data/####/AppStore.xml
- /data/data/####/AppStore.xml.bak
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/ContextData.xml
- /data/data/####/LocationType.xml
- /data/data/####/OfJbkLdFbPOMbGyP.xml
- /data/data/####/SIDEBAR_PRESENTS.xml
- /data/data/####/UTMCBase.xml
- /data/data/####/UTMCConf-336291775.xml
- /data/data/####/UTMCLog-336291775.xml
- /data/data/####/a
- /data/data/####/app_setting_prefs.xml
- /data/data/####/app_usages.txt
- /data/data/####/app_usages_cache.txt
- /data/data/####/box_cp_all_msg.xml
- /data/data/####/box_cp_states.xml
- /data/data/####/boxcpdownloads
- /data/data/####/boxcpdownloads-journal
- /data/data/####/busybox
- /data/data/####/config_1.xml
- /data/data/####/config_1.xml.bak (deleted)
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/db_downloader-journal
- /data/data/####/dij.xml
- /data/data/####/dim.xml
- /data/data/####/downloader_pref.xml
- /data/data/####/f_000001
- /data/data/####/fcut_appInfo_pre.xml
- /data/data/####/fcut_conf_pre.xml
- /data/data/####/fcut_trategy_pre.xml
- /data/data/####/index
- /data/data/####/j-id.xml
- /data/data/####/mid.xml
- /data/data/####/pdown
- /data/data/####/pdown-journal
- /data/data/####/plugin_info
- /data/data/####/po_download.db-journal
- /data/data/####/pp.plugin.floatwindow_internal.apk
- /data/data/####/pp.plugin.lucky.apk
- /data/data/####/pp.plugin.lucky.apk_1.1_3.apk.tp
- /data/data/####/pp_db_2-journal
- /data/data/####/pp_http_db-journal
- /data/data/####/qui_download.db-journal
- /data/data/####/release.ini
- /data/data/####/rp.xml
- /data/data/####/rs.xml
- /data/data/####/running_app_name.xml
- /data/data/####/share_data.xml
- /data/data/####/short_create.xml
- /data/data/####/shortoutnamesha.xml
- /data/data/####/type.xml
- /data/data/####/vs.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/xy.xml
- /data/data/####/ybappInfo_pre.xml
- /data/data/####/ybconf_pre.xml
- /data/data/####/yo_fconf_pre.xml
- /data/data/####/yoappInfo_pre.xml
- /data/data/####/yoconf_pre.xml
- /data/data/####/yop_download.db-journal
- /data/data/####/yotrategy_pre.xml
- /data/media/####/.nomedia
- /data/media/####/1.dat
- /data/media/####/12.dat
- /data/media/####/12fcbe9b8f8645bf0d33fa775e3d34e4.0
- /data/media/####/1310f9db59a10f892e3548359ef16f97.t
- /data/media/####/1525870336291u.jar
- /data/media/####/1525870336957q.jar
- /data/media/####/1525870337206u.jar
- /data/media/####/1525870341137b.jar
- /data/media/####/2.dat
- /data/media/####/296347717314c2c0132a162d61227a30.0
- /data/media/####/3.dat
- /data/media/####/492c19ea949589d53bae921b1b749383.t
- /data/media/####/56516275f6133812b9290b15855503e2.0
- /data/media/####/5a99f890e623ba48dcc077dba6ead200.t
- /data/media/####/7.dat
- /data/media/####/782ed721fd1c9ee0898727fa110d8f35.0
- /data/media/####/8ad7cee8cf70fd57fd733084179e8886.0
- /data/media/####/8b8656698aaac9696488f640ce728e99.0
- /data/media/####/8c2cf206afc5993d5fb9ce0f6a703cbe.0
- /data/media/####/8d80b71637b7b25351e3ef65cfd854b6.0
- /data/media/####/9a0ec136d0c5d88ba6249066ed39e611.0
- /data/media/####/9cf0bb5c74bf63f4b9ae9da1dd80334c.0
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/MID.DAT
- /data/media/####/a07ffb4b2dc6bba5c024f4d619cf03c8.0
- /data/media/####/ab5d2e3741ac1602c776657dd8b773d7.t
- /data/media/####/ba223d84a81478fa01915f9c4d2e2627.0
- /data/media/####/c644239db457f6fea49a8e92362b20ce.0
- /data/media/####/c8e4d47529bf6fdb044c1366a29bd4dd.0
- /data/media/####/com.yash.foung.png
- /data/media/####/cp0.png.dat
- /data/media/####/cp1.png.dat
- /data/media/####/gifnoc.ini
- /data/media/####/journal.1
- /data/media/####/names.dat
- /data/media/####/share.dat
- /data/media/####/st.dat
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/amodel/a com.android.browser/com.android.browser.BrowserActivity 0 <Package Folder>/amodel <Package Folder> http://sjzs-api.25pp.com/api/uninstall?content=aW1laT0zNTY1MDcwNTkzNTE4OTVgbW9kZWw9R1QtSTgxOTBgdWlkPWQwODBkM2EzN2IwYmU3YmM3YzE1YzBhNWFjNzZiYzY0YHV1aWQ9ZGVmYXVsdGByb209MThgdmVyPTYuOC43YGNoPVBNXzMxYGFjdGlvbj11bmluc3RhbGxgcHJvZHVjdGlkPTIwMDFgcmVzb2x1dGlvbj02MDAqNzUyYGluc3RhbGx0aW1lPTIwMTgtMDUtMDkgMTI6NTI6MTE= null
- chmod 755 <Package Folder>/files/busybox
- chmod 775 <Package Folder>/amodel/a
- grep <Package Folder>/amodel/a
- sh
- sh <Package Folder>/amodel/a com.android.browser/com.android.browser.BrowserActivity 0 <Package Folder>/amodel <Package Folder> http://sjzs-api.25pp.com/api/uninstall?content=aW1laT0zNTY1MDcwNTkzNTE4OTVgbW9kZWw9R1QtSTgxOTBgdWlkPWQwODBkM2EzN2IwYmU3YmM3YzE1YzBhNWFjNzZiYzY0YHV1aWQ9ZGVmYXVsdGByb209MThgdmVyPTYuOC43YGNoPVBNXzMxYGFjdGlvbj11bmluc3RhbGxgcHJvZHVjdGlkPTIwMDFgcmVzb2x1dGlvbj02MDAqNzUyYGluc3RhbGx0aW1lPTIwMTgtMDUtMDkgMTI6NTI6MTE= null
Загружает динамические библиотеки:
- pppmtools
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DES
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- DES
Может автоматически отправлять СМС-сообщения.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
