Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Xiny.20
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) w####.cnn.com:80
- TCP(HTTP/1.1) a.sm####.cn:80
- TCP(HTTP/1.1) www.wallsmo####.com:80
- TCP(HTTP/1.1) img.cool####.cn.####.com:80
- TCP(HTTP/1.1) m####.a####.com:80
- TCP(HTTP/1.1) and####.wallsmo####.com:80
- TCP(SSL/3.0) cnn.sdk.bee####.com:443
- TCP(TLS/1.0) digice####.rubicon####.com.####.net:443
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) edi####.cnn.com:443
- TCP(TLS/1.0) w####.cnn.com:443
- TCP(TLS/1.0) cdn.adsafep####.com:443
- TCP(TLS/1.0) na####.shareth####.com:443
- TCP(TLS/1.0) www.googlet####.com:443
- TCP(TLS/1.0) a.postrel####.com.####.net:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) cdn.optimi####.com:443
- TCP(TLS/1.0) www.ugdtu####.com:443
- TCP(TLS/1.0) st####.tu####.ak####.net:443
- TCP(TLS/1.0) js####.casalem####.com.####.net:443
- TCP(TLS/1.0) cdn-fa####.k####.net:443
- TCP(TLS/1.0) io####.tu####.com.####.net:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) c.amazon-####.com:443
- TCP(TLS/1.0) st####.chart####.com:443
- TCP(TLS/1.0) adser####.go####.com:443
- TCP(TLS/1.0) cnn.sdk.bee####.com:443
Запросы DNS:
- a.postrel####.com
- a.sm####.cn
- ads.rubicon####.com
- adser####.go####.com
- and####.wallsmo####.com
- c####.cnn.com
- c.amazon-####.com
- cdn.adsafep####.com
- cdn.k####.net
- cdn.optimi####.com
- cnn.sdk.bee####.com
- edi####.cnn.com
- edi####.i.cdn.####.com
- img.cool####.cn
- js####.ind####.com
- m####.a####.com
- na####.shareth####.com
- ssl.cdn.tu####.com
- ssl.gst####.com
- st####.chart####.com
- w####.cnn.com
- www.go####.com
- www.go####.nl
- www.googlet####.com
- www.gst####.com
- www.ugdtu####.com
- www.wallsmo####.com
Запросы HTTP GET:
- and####.wallsmo####.com/wallpapers2/viewImage.php?idCategoria=####
- img.cool####.cn.####.com/2011/giantt.jar
- m####.a####.com/sdk-core-v40.js
- w####.cnn.com/
Запросы HTTP POST:
- a.sm####.cn/cw/cp.action?requestId=####&g=####
- a.sm####.cn/cw/interface!u2.action?protocol=####&version=####&cid=####
- and####.wallsmo####.com/wallpapers2/xs.android.cp.php
- www.wallsmo####.com/notifications/xs.android.notif.php
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/W_Key.xml
- /data/data/####/a.xml
- /data/data/####/ads1324400026.jar
- /data/data/####/com.dute.gaoqing.zhuomiansiogwepdmtco_preferences.xml
- /data/data/####/cpdata
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/downloadswc
- /data/data/####/downloadswc-journal
- /data/data/####/f_000001
- /data/data/####/http_media.admob.com_0.localstorage-journal
- /data/data/####/index
- /data/data/####/st.xml
- /data/data/####/userdata123
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/4.5_giantt.jar.tmp
- /data/media/####/restime.dat
- /data/system/####/wallpaper
Другие:
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Отрисовывает собственные окна поверх других приложений.
