Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Mixi.33.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) b90c####.cdn.uc####.####.cn:80
- TCP(HTTP/1.1) sh.wagbr####.aliyun####.com:80
- TCP(HTTP/1.1) www.goo####.software:80
- TCP(HTTP/1.1) api.zhuishu####.com:80
- TCP(HTTP/1.1) gl####.w.kunl####.####.com:80
- TCP(HTTP/1.1) hc.z####.today:8082
- TCP(HTTP/???) hg.hig####.today:80
- TCP(TLS/1.0) 2####.107.1.97:443
- TCP(TLS/1.0) sh.wagbr####.alibaba####.com:443
Запросы DNS:
- a####.man.aliy####.com
- api.zhuishu####.com
- hc.s####.top
- hc.z####.today
- hg.hig####.today
- plb####.u####.com
- sta####.zhuishu####.com
- u####.u####.com
- www.goo####.software
Запросы HTTP GET:
- api.zhuishu####.com/book/53e2ec85c67c51f35a447a47
- api.zhuishu####.com/book/59eabec028162e8a1b080ac0
- api.zhuishu####.com/book/fuzzy-search?query=####
- api.zhuishu####.com/cats/lv2
- api.zhuishu####.com/mix-atoc/53e2ec85c67c51f35a447a47?view=####
- api.zhuishu####.com/ranking/564d85b6dd2bd1ec660ea8e2
- b90c####.cdn.uc####.####.cn/gpfile/pfiles/1500809497389.slz
- b90c####.cdn.uc####.####.cn/gpfile/pfiles/1500809763387.slz
- b90c####.cdn.uc####.####.cn/gpfile/pfiles/1500809811269.slz
- b90c####.cdn.uc####.####.cn/gpfile/pfiles/1500809824846.slz
- b90c####.cdn.uc####.####.cn/gpfile/pfiles/1500809904349.slz
- b90c####.cdn.uc####.####.cn/gpfile/pfiles/1500809930147.slz
- b90c####.cdn.uc####.####.cn/gpfile/pfiles/1500810016794.slz
- b90c####.cdn.uc####.####.cn/gpfile/pfiles/1500810035053.slz
- b90c####.cdn.uc####.####.cn/gpfile/pfiles/1500810168210.slz
- b90c####.cdn.uc####.####.cn/gpfile/pfiles/gofile/des_V17041702Aj1so32.zip
- b90c####.cdn.uc####.####.cn/gpfile/pfiles/new/start_v180521003.dat
- gl####.w.kunl####.####.com/agent//image.cmfu.com/books/3274925/3274925.jpg
- gl####.w.kunl####.####.com/agent/http://img.1391.com/api/v1/bookcenter/c...
- hg.hig####.today/cr/sv/getRltNew?eid=####&estatus=####&appkey=####
- hg.hig####.today/cr/sv/getRltNew?eid=####&estatus=####&appkey=####&pid=#...
- www.goo####.software/cr/sv/getGoFile?name=####
- www.goo####.software/cr/sv/getRecord?eids=####&appKey=####&flag=####
Запросы HTTP POST:
- hc.z####.today:8082/spdumread/service/rtLogRecord
- hg.hig####.today/cr/sv/getEPList
- hg.hig####.today/cr/sv/mList
- sh.wagbr####.aliyun####.com/man/api?ak=####&s=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.md
- /data/data/####/1526454911520_V17041702Aj1so32.so
- /data/data/####/15ee0015b1171e23d9db940bd4040da9ef9bb1a94e6ee07....0.tmp
- /data/data/####/1805.jar
- /data/data/####/18576EF5686015653B56C0A78D35504F
- /data/data/####/236aac30cd24f8d182d846d421684b0062b5ebd2d6ae5da....0.tmp
- /data/data/####/408.jar
- /data/data/####/421.jar
- /data/data/####/430.jar
- /data/data/####/4EA65022BA6364ADD2CAEC8EAB19B524
- /data/data/####/50ec1c46e8a8056030f34ff052557e4fe5cdfab5c9aeff0...e2ae.0
- /data/data/####/511fe93d63bb3664f074972c95de8d5a1dcd1d1943b7dac....0.tmp
- /data/data/####/5css2DB8520H46
- /data/data/####/610.jar
- /data/data/####/611.jar
- /data/data/####/617.jar
- /data/data/####/61FA2A46FD17F48ABB5CBF2F9B2DDE23
- /data/data/####/640.jar
- /data/data/####/67e69215845581fda0542721ed581f87e33f003a7332b8e....0.tmp
- /data/data/####/68CBA9AF63ED56491258BB84653A22A1
- /data/data/####/7863E77E7EB9FACF5E658A94FBE51B65
- /data/data/####/806.jar
- /data/data/####/8588649a1521ce98d91f7a12616c8395d08f4372b644b8b....0.tmp
- /data/data/####/8A19132029C2509F289C501258EEF52D
- /data/data/####/8c8795be3e7b00861c4ff24eb90dfd5e911e2347c0a0999....0.tmp
- /data/data/####/938F4625E6ACC494511683E061A30C14
- /data/data/####/9e6dac583b33d92e4034c4cea5c49543496cda4bcb06a71....0.tmp
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/ECA59081A40C6CF41C02802044E54A31
- /data/data/####/F88E4572B2EAA1D753668D78610182D5
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/MultiDex.lock
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/a20a0fa60109efdb79b8995f0c14a4a6b3216dd2d88274a....0.tmp
- /data/data/####/a==7.5.0&&1.1.0_1526454908589_envelope.log
- /data/data/####/aa8a806562b0b02db3adb38564402fabbac2f77394ea3fd....0.tmp
- /data/data/####/android_system.xml
- /data/data/####/com.android.reader.css12golden2
- /data/data/####/com.android.reader.css_preferences.xml
- /data/data/####/dcSharedPreferences.dat.xml
- /data/data/####/evernote_jobs.db-journal
- /data/data/####/evernote_jobs.xml
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f8bed4d588cece09b3717b22c176a7b685f8b4b1f9abf50....0.tmp
- /data/data/####/f8f28180e2d876e2e7e9f34afe267ed994dd0bd4a310ef6...bd00.0
- /data/data/####/gpdu
- /data/data/####/habit.xml
- /data/data/####/hftJcw46N.jar
- /data/data/####/httpdns_config_cache.xml
- /data/data/####/i==1.2.0&&1.1.0_1526454908270_envelope.log
- /data/data/####/info.xml
- /data/data/####/journal.tmp
- /data/data/####/multidex.version.xml
- /data/data/####/samsung112.jar
- /data/data/####/test
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/umdat.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_message_state.xml
- /data/data/####/us.908GhK3z1XIE6J7u3B4nRKlfEI88s
- /data/media/####/.a.dat
- /data/media/####/.adfwe.dat
- /data/media/####/.cca.dat
- /data/media/####/.umm.dat
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/android_fm.id
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- <Package Folder>/files/.play/test <Package Folder>/files/.play/ c98ca28190ed8894690abc9d8890b831
- <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s -h c98ca28190ed8894690abc9d8890b831 <Package Folder>/.syslib-
- chmod 0771 <Package Folder>/.syslib-
- chmod 770 <Package Folder>/files/.play/test
- getenforce
- ls /
- ls /sys/class/thermal
- rm -f <Package Folder>/files/hftJcw46N.dex
- rm -f <Package Folder>/files/hftJcw46N.jar
- rm -f <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s
- rm <Package Folder>/files/hftJcw46N.dex
- rm <Package Folder>/files/hftJcw46N.jar
- rm <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s
- sh -c /system/usr/toolbox rm -f <Package Folder>/files/hftJcw46N.dex > /dev/null 2>&1
- sh -c /system/usr/toolbox rm -f <Package Folder>/files/hftJcw46N.jar > /dev/null 2>&1
- sh -c /system/usr/toolbox rm -f <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s > /dev/null 2>&1
- sh -c rm <Package Folder>/files/hftJcw46N.dex > /dev/null 2>&1
- sh -c rm <Package Folder>/files/hftJcw46N.jar > /dev/null 2>&1
- sh -c rm <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s > /dev/null 2>&1
- sh -c rm -f <Package Folder>/files/hftJcw46N.dex > /dev/null 2>&1
- sh -c rm -f <Package Folder>/files/hftJcw46N.jar > /dev/null 2>&1
- sh -c rm -f <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s > /dev/null 2>&1
- sh <Package Folder>/files/.play/test <Package Folder>/files/.play/ c98ca28190ed8894690abc9d8890b831
- sh <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s -h c98ca28190ed8894690abc9d8890b831 <Package Folder>/.syslib-
Загружает динамические библиотеки:
- 1526454911520_V17041702Aj1so32
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
