Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.248.origin
- Android.Triada.373.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 1####.132.26.203:9700
- TCP(HTTP/1.1) l.ace####.com:80
- TCP(HTTP/1.1) img.ace####.com:80
- TCP(HTTP/1.1) 1####.196.40.71:9600
- TCP(HTTP/1.1) 1####.196.40.71:9500
Запросы DNS:
- img.ace####.com
- l.ace####.com
Запросы HTTP GET:
- img.ace####.com/ando-res/ads/23/15/274631f7-b216-46c6-8c49-e64bfc112438/...
- img.ace####.com/ando-res/ads/30/14/f15541de-b7bd-4ff9-97fb-9e6cc9e4e044/...
Запросы HTTP POST:
- l.ace####.com/ando/v3/ap?app_id=####&r=####
- l.ace####.com/ando/v3/lv?app_id=####&r=####
- l.ace####.com/ando/v3/qa?app_id=####&r=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- /data/data/####/-GGJUoAeDyV9trXdW8-5IbtsGxU=.new
- /data/data/####/000.png
- /data/data/####/001.png
- /data/data/####/002.png
- /data/data/####/003.png
- /data/data/####/004.png
- /data/data/####/0pfhH0X-xHM_bUrqA4_f6CJHKIs=.new
- /data/data/####/1gNw0zZjZSxBsObiH1rzrr7EZCYPJ3mB.new
- /data/data/####/5hwlF8NXd9qKsWSvepu5MdiTRZf7VPsu.new
- /data/data/####/5xWwINckE78cDluaGCOLALCPY7M=.new
- /data/data/####/8XAwtJYqRozYyJuI9x0ti0yewBI=.new
- /data/data/####/9bx-dM6HpUhdeT4b
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/DyANuc1Oks8_uDja
- /data/data/####/FNzvvdpaOmU5YPrGbTopWSlTZGXaiDIhMezVMS7DbzY=.new
- /data/data/####/GoiijVACayZuRKdj7HEDU9KlyqYUPXUz-4xTSQ==_4GjVtH...ournal
- /data/data/####/GoiijVACayZuRKdj7HEDU9KlyqYUPXUz-4xTSQ==_4GjVtH...w2rA==
- /data/data/####/GoiijVACayZuRKdj7HEDU9KlyqYUPXUz-4xTSQ==_RFZYn5...ournal
- /data/data/####/GoiijVACayZuRKdj7HEDU9KlyqYUPXUz-4xTSQ==_nLJFOn...F_RA==
- /data/data/####/GoiijVACayZuRKdj7HEDU9KlyqYUPXUz-4xTSQ==_nLJFOn...ournal
- /data/data/####/GoiijVACayZuRKdj7HEDU9KlyqYUPXUz-4xTSQ==_uOaCH8...S-Xqo=
- /data/data/####/GoiijVACayZuRKdj7HEDU9KlyqYUPXUz-4xTSQ==_uOaCH8...ournal
- /data/data/####/GoiijVACayZuRKdj7HEDU9KlyqYUPXUz-4xTSQ==_xzmwlu...ournal
- /data/data/####/GoiijVACayZuRKdj7HEDU9KlyqYUPXUz-4xTSQ==_xzmwlu7H-QyVr_iz
- /data/data/####/J3J4JR3M0wpXapZb0QvhSmMsUAi3VT5LzFNokg==.new
- /data/data/####/JuvKoo0SSoLm5bOiriSx6w==
- /data/data/####/KXtzrM2XZIb9x-gmBH1FIg==.new
- /data/data/####/MZlomuJn49DI-Tx7hat8SxIl2InUoBQZUx89sbIbOM0=.new
- /data/data/####/MapExplain.txt
- /data/data/####/MzfTTI_jc6k4DDXI.zip
- /data/data/####/N2yKi6zNAQIr7w7gbcKKDg==
- /data/data/####/NCMvo-kfsBYwxcayUowiwEf3xDH1IKmA.new
- /data/data/####/QOh9DogwbKqsdvsS_FCQfe0CQu8=.new
- /data/data/####/VVm6P3mrzPs9nryf_w3OeOCc_zxWpgCZkr0E6tYfD8E=.new
- /data/data/####/ZhKUZ4tXWWNwAsfDjcBdng==.new
- /data/data/####/adrenaline.mp3
- /data/data/####/armor.xml
- /data/data/####/attack_1.mp3
- /data/data/####/attack_2.mp3
- /data/data/####/attack_3.mp3
- /data/data/####/attack_4.mp3
- /data/data/####/attack_5.mp3
- /data/data/####/ax.csb
- /data/data/####/bN7X_WnML1CQj4A-NEc9judigUzb3MOPXF4cEQ==.new
- /data/data/####/bao1.png
- /data/data/####/bgm.mp3
- /data/data/####/bgm1.mp3
- /data/data/####/bloodAnimation.csb
- /data/data/####/bloodBar.png
- /data/data/####/bloodBarBoard.png
- /data/data/####/btnBegin_1.png
- /data/data/####/btnBegin_2.png
- /data/data/####/buy.mp3
- /data/data/####/bx (2).png
- /data/data/####/bx (4).png
- /data/data/####/bx (6).png
- /data/data/####/bx (7).png
- /data/data/####/bx (8).png
- /data/data/####/bx (9).png
- /data/data/####/bx 1.png
- /data/data/####/bx 3.png
- /data/data/####/bx2.png
- /data/data/####/c1-YpOlmYvLgdwqRrIQhRgig7S0KPzsObwcm8ThB_zY=.new
- /data/data/####/cPointForHero.json
- /data/data/####/cPointForTools.json
- /data/data/####/car.png
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/click.mp3
- /data/data/####/com.s.ypay.apk
- /data/data/####/com.s.ypay.dex
- /data/data/####/dao.png
- /data/data/####/dg1.png
- /data/data/####/dg2.png
- /data/data/####/dg3.png
- /data/data/####/dg4.png
- /data/data/####/dg5.png
- /data/data/####/dljvTl_Q0wKwQTo0HP-3BQ==
- /data/data/####/dljvTl_Q0wKwQTo0HP-3BQ==.new
- /data/data/####/dljvTl_Q0wKwQTo0HP-3BQ==.old (deleted)
- /data/data/####/doorTip.plist
- /data/data/####/doorTip.png
- /data/data/####/doorTip_1.png
- /data/data/####/doorTip_2.png
- /data/data/####/doorTip_3.png
- /data/data/####/doorTip_4.png
- /data/data/####/doorTip_5.png
- /data/data/####/eaUvg0Add8LCmdz_K7KCZjbmsE83e67E.new
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/fullBulletTip.png
- /data/data/####/gameBeginBg.png
- /data/data/####/gameStage.xml
- /data/data/####/get.mp3
- /data/data/####/grass_1.png
- /data/data/####/guns.xml
- /data/data/####/hitted.mp3
- /data/data/####/house.png
- /data/data/####/houseTop.plist
- /data/data/####/houseTop.png
- /data/data/####/house_top.png
- /data/data/####/huitianmiedi_32.png
- /data/data/####/huitianmiedi_33.png
- /data/data/####/huitianmiedi_34.png
- /data/data/####/huitianmiedi_35.png
- /data/data/####/huitianmiedi_36.png
- /data/data/####/huitianmiedi_37.png
- /data/data/####/huitianmiedi_38.png
- /data/data/####/huitianmiedi_42.png
- /data/data/####/huitianmiedi_43.png
- /data/data/####/huitianmiedi_44.png
- /data/data/####/huitianmiedi_45.png
- /data/data/####/huitianmiedi_46.png
- /data/data/####/huitianmiedi_47.png
- /data/data/####/huitianmiedi_48.png
- /data/data/####/huitianmiedi_49.png
- /data/data/####/huitianmiedi_50.png
- /data/data/####/huitianmiedi_51.png
- /data/data/####/incitantEffect.plist
- /data/data/####/incitantEffect.png
- /data/data/####/iunB83uHC61OzrWAJuMGWV93Bg0=
- /data/data/####/j1.png
- /data/data/####/j2.png
- /data/data/####/jfd.plist
- /data/data/####/jfd.png
- /data/data/####/jz.csb
- /data/data/####/kan.csb
- /data/data/####/kill.png
- /data/data/####/kn_jyasuy6gwv6EZ.new
- /data/data/####/knives.xml
- /data/data/####/kzseLXoKk0MCibq4LItZljSNT6erYoMG.new
- /data/data/####/lawn.png
- /data/data/####/libexec.so
- /data/data/####/lkl (1).png
- /data/data/####/lkl (10).png
- /data/data/####/lkl (11).png
- /data/data/####/lkl (2).png
- /data/data/####/lkl (3).png
- /data/data/####/lkl (4).png
- /data/data/####/lkl (5).png
- /data/data/####/lkl (6).png
- /data/data/####/lkl (7).png
- /data/data/####/lkl (8).png
- /data/data/####/lkl (9).png
- /data/data/####/loading.png
- /data/data/####/loadingBar.png
- /data/data/####/loadingBg.png
- /data/data/####/main.mp3
- /data/data/####/map.jpg
- /data/data/####/map.tmx
- /data/data/####/map_1.tmx
- /data/data/####/medical.xml
- /data/data/####/mm (2).png
- /data/data/####/mm (3).png
- /data/data/####/mm (4).png
- /data/data/####/mm (5).png
- /data/data/####/mm (6).png
- /data/data/####/mmk (1).png
- /data/data/####/mmk (2).png
- /data/data/####/mmk (3).png
- /data/data/####/mmk (4).png
- /data/data/####/mmk (5).png
- /data/data/####/mmk (6).png
- /data/data/####/mmk (7).png
- /data/data/####/mmk (8).png
- /data/data/####/mmk (9).png
- /data/data/####/op (1).png
- /data/data/####/op (2).png
- /data/data/####/op (3).png
- /data/data/####/op (4).png
- /data/data/####/op (5).png
- /data/data/####/op (6).png
- /data/data/####/op (7).png
- /data/data/####/op (8).png
- /data/data/####/op (9).png
- /data/data/####/pickAndBullet.plist
- /data/data/####/pickAndBullet.png
- /data/data/####/pickTimeBar.png
- /data/data/####/pickTimeBarBoard.png
- /data/data/####/pkXgtOjC8qJfiR3LDePsPSfT5bPR5cbn.new
- /data/data/####/playerName.xml
- /data/data/####/poisonA.png
- /data/data/####/poisonV.png
- /data/data/####/pops.plist
- /data/data/####/pops.png
- /data/data/####/posionEdge.png
- /data/data/####/puMH8TrJYdVUDMtleSA9TQIX84O-S2_zSfUgwg==.new
- /data/data/####/q1.csb
- /data/data/####/q1.png
- /data/data/####/q2.csb
- /data/data/####/q2.png
- /data/data/####/q3.csb
- /data/data/####/q3.png
- /data/data/####/q4.csb
- /data/data/####/q4.png
- /data/data/####/qO83thSPmi1Jt9g0D63RaqPYnzLAvjm4.new
- /data/data/####/rdata_comukiozowwae.new
- /data/data/####/recovery.mp3
- /data/data/####/replace.mp3
- /data/data/####/resurrection.mp3
- /data/data/####/rock.png
- /data/data/####/runner_info.prop.new
- /data/data/####/shield.mp3
- /data/data/####/shieldEffect.plist
- /data/data/####/shieldEffect.png
- /data/data/####/shifangjiesha_22.png
- /data/data/####/shifangjiesha_23.png
- /data/data/####/shifangjiesha_24.png
- /data/data/####/shou1.png
- /data/data/####/shou2.png
- /data/data/####/shou3.png
- /data/data/####/shou4.png
- /data/data/####/shou5.png
- /data/data/####/siwa.csb
- /data/data/####/st1.png
- /data/data/####/success.mp3
- /data/data/####/switch.mp3
- /data/data/####/sykaq_f.dex
- /data/data/####/sykaq_f.zip
- /data/data/####/tanke.png
- /data/data/####/targetTip.png
- /data/data/####/temp.zip
- /data/data/####/tip.plist
- /data/data/####/tip.png
- /data/data/####/tipBoard.png
- /data/data/####/tou1.png
- /data/data/####/tree.png
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/ui.plist
- /data/data/####/ui.png
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_general_config.xml.bak (deleted)
- /data/data/####/umeng_it.cache
- /data/data/####/unknown.xml
- /data/data/####/vPXiOjO3tRAoXtDBtzAMAw8tiREv_BGI.new
- /data/data/####/vi_db_pay
- /data/data/####/vi_db_pay-journal
- /data/data/####/warning.mp3
- /data/data/####/webview.db
- /data/data/####/webview.db-journal
- /data/data/####/wordsTips.xml
- /data/data/####/wsSqTyfEorpZkj4Yf5_migQZcHI=.new
- /data/data/####/xkzrZWe7CBRcs772I7ahCxHNT2w=.new
- /data/data/####/zd1.png
- /data/data/####/zd2.png
- /data/data/####/zd3.png
- /data/data/####/zd4.png
- /data/media/####/.cfg
- /data/media/####/.uunique.new
- /data/media/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
- /data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
- /data/media/####/MP8MtaBuguN9jnuSwtN1kQ==
- /data/media/####/r_pkDgN4OhnkSa0D
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/sh
- <Package Folder>/code-9301620/9bx-dM6HpUhdeT4b -p <Package> -c com.ukioz.owwae.entity.DurianReceiver -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
- cat /sys/block/mmcblk0/device/cid
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.miui.ui.version.name
- getprop ro.product.cpu.abi
- getprop ro.vivo.os.version
- getprop ro.yunos.version
- ls -l /sbin/su
- ls -l /system/bin/su
- ls -l /system/sbin/su
- ls -l /system/xbin/su
- ls -l /vendor/bin/su
- sh <Package Folder>/code-9301620/9bx-dM6HpUhdeT4b -p <Package> -c com.ukioz.owwae.entity.DurianReceiver -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
Загружает динамические библиотеки:
- MyGame
- libexec
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- DES-ECB-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- DES-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
