Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.683.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) ib.sn####.com:80
- TCP(HTTP/1.1) cdn.app.xingh####.####.com:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) dm.tou####.com:80
- TCP(HTTP/1.1) apilo####.a####.com:80
- TCP(HTTP/1.1) p.ps####.com:80
- TCP(HTTP/1.1) 47.92.1####.96:80
- TCP(HTTP/1.1) ic.sn####.com:80
- TCP(HTTP/1.1) icha####.sn####.com:80
- TCP(HTTP/1.1) cdn.game####.org:80
- TCP(HTTP/1.1) 1####.76.224.67:80
- TCP(HTTP/???) icha####.sn####.com:80
- TCP(TLS/1.0) regi####.xm####.xi####.com:443
- TCP(TLS/1.0) m####.wind####.top:443
- TCP(TLS/1.0) sett####.crashly####.com:443
- TCP(TLS/1.0) cdn.app.xingh####.####.com:443
Запросы DNS:
- a####.u####.com
- a0.ps####.com
- api####.a####.com
- cdn.app.3####.top
- cdn.app.xingh####.cn
- cdn.game####.org
- dm.tou####.com
- i####.sn####.com
- ib.sn####.com
- ic.sn####.com
- icha####.sn####.com
- loc.map.b####.com
- log.sn####.com
- m####.wind####.top
- mon.sn####.com
- oc.u####.com
- p.ps####.com
- p3.ps####.com
- regi####.xm####.xi####.com
- sett####.crashly####.com
Запросы HTTP GET:
- cdn.app.xingh####.####.com/lupload/clo/he
- cdn.game####.org/strategy/UnknownDev
- cdn.game####.org/strategy/base
- cdn.game####.org/strategy/dev_root
- cdn.game####.org/strategy/dev_root2
- cdn.game####.org/strategy/larger4.3
- cdn.game####.org/strategy/loss_4.3
- cdn.game####.org/strategy/sul18
- cdn.game####.org/strategy/symlink-adbd
- dm.tou####.com/2/user/info/?ac=####&channel=####&aid=####&app_name=####&...
- dm.tou####.com/2/user/info/?iid=####&device_id=####&ac=####&channel=####...
- dm.tou####.com/get_domains/?ac=####&channel=####&aid=####&app_name=####&...
- dm.tou####.com/monitor/settings/?ac=####&channel=####&aid=####&app_name=...
- dm.tou####.com/w480/7b2a0000b9c854d3a55f.webp
- ib.sn####.com/promotion/app/lt/
- ib.sn####.com/service/12/app_ad/?_unused=####&carrier=####&mcc_mnc=####&...
- ib.sn####.com/service/settings/v2/?app=####&default=####&ac=####&channel...
- ic.sn####.com/2/essay/discovery/v3/?iid=####&device_id=####&ac=####&chan...
- ic.sn####.com/2/essay/settings/?iid=####&device_id=####&ac=####&channel=...
- ic.sn####.com/2/essay/zone/ugc/recent/?mpic=####&webp=####&essence=####&...
- ic.sn####.com/message/check/v1/?message_cursor=####&iid=####&device_id=#...
- ic.sn####.com/message/get/v1/?message_cursor=####&count=####&from_id=###...
- ic.sn####.com/neihan/service/check_client_file_version/v1/?file=####&iid...
- ic.sn####.com/neihan/service/tabs/?essence=####&iid=####&device_id=####&...
- ic.sn####.com/neihan/stream/mix/v1/?mpic=####&webp=####&essence=####&con...
- ic.sn####.com/service/1/detail_ad/?iid=####&device_id=####&ac=####&chann...
- ic.sn####.com/service/3/app_components/?screen_type=####&iid=####&device...
- icha####.sn####.com/feedback/2/list/?appkey=####&count=####&iid=####&dev...
- icha####.sn####.com/service/2/app_alert/?has_market=####&lang=####&carri...
- icha####.sn####.com/service/2/app_notify/?allow_notify=####&l####
- p.ps####.com/obj/7bcf00024e4d805e0c48
Запросы HTTP POST:
- a####.u####.com/app_logs
- apilo####.a####.com/v3/log/init
- dm.tou####.com/service/2/app_log_config/?ac=####&channel=####&aid=####&a...
- dm.tou####.com/service/2/app_log_config/?iid=####&device_id=####&ac=####...
- ib.sn####.com/service/1/z_app_stats/?iid=####&device_id=####&ac=####&cha...
- oc.u####.com/v2/check_config_update
- oc.u####.com/v2/get_update_time
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/1740c449fc10be62df60ba0f18696c9f
- /data/data/####/32edd79a240b5f1e461d069caab1ec3e
- /data/data/####/5AFBD9F20053-0001-0811-F12B15774944BeginSession.cls_temp
- /data/data/####/5AFBD9F20053-0001-0811-F12B15774944SessionApp.cls_temp
- /data/data/####/5AFBD9F20053-0001-0811-F12B15774944SessionDevice.cls_temp
- /data/data/####/5AFBD9F20053-0001-0811-F12B15774944SessionOS.cls_temp
- /data/data/####/5AFBD9F20053-0001-0811-F12B15774944user.meta
- /data/data/####/5AFBD9F20201-0001-083A-F12B15774944BeginSession.cls_temp
- /data/data/####/5AFBD9F20201-0001-083A-F12B15774944SessionApp.cls_temp
- /data/data/####/5AFBD9F20201-0001-083A-F12B15774944SessionDevice.cls_temp
- /data/data/####/5AFBD9F20201-0001-083A-F12B15774944SessionOS.cls_temp
- /data/data/####/5AFBD9F20201-0001-083A-F12B15774944user.meta
- /data/data/####/5AFBD9F300B2-0001-0887-F12B15774944BeginSession.cls_temp
- /data/data/####/5AFBD9F300B2-0001-0887-F12B15774944SessionApp.cls_temp
- /data/data/####/5AFBD9F300B2-0001-0887-F12B15774944SessionDevice.cls_temp
- /data/data/####/5AFBD9F300B2-0001-0887-F12B15774944SessionOS.cls_temp
- /data/data/####/5AFBD9F300B2-0001-0887-F12B15774944user.meta
- /data/data/####/5AFBD9F70224-0001-08BE-F12B15774944BeginSession.cls_temp
- /data/data/####/5AFBD9F70224-0001-08BE-F12B15774944SessionApp.cls_temp
- /data/data/####/5AFBD9F70224-0001-08BE-F12B15774944SessionDevice.cls_temp
- /data/data/####/5AFBD9F70224-0001-08BE-F12B15774944SessionOS.cls_temp
- /data/data/####/5AFBD9F70224-0001-08BE-F12B15774944user.meta
- /data/data/####/5AFBD9F80223-0001-08E6-F12B15774944BeginSession.cls_temp
- /data/data/####/5AFBD9F80223-0001-08E6-F12B15774944SessionApp.cls_temp
- /data/data/####/5AFBD9F80223-0001-08E6-F12B15774944SessionDevice.cls_temp
- /data/data/####/5AFBD9F80223-0001-08E6-F12B15774944SessionOS.cls_temp
- /data/data/####/5AFBD9F80223-0001-08E6-F12B15774944user.meta
- /data/data/####/6ce477f8-3370-4026-b486-871245410381
- /data/data/####/77bdb3ce-c895-4f54-a73d-60c5b404fa49.jar
- /data/data/####/7b4705c4-2c83-4a1e-98dc-d23bffdb7fa1
- /data/data/####/84952ab1-a0b6-4b58-b9f6-0c4a45b50931
- /data/data/####/8b6f263391259b7a8e5f58ee71852ca8
- /data/data/####/Alvin2.xml
- /data/data/####/AppStore.xml
- /data/data/####/ContextData.xml
- /data/data/####/Matrix
- /data/data/####/SUBOXLOG_
- /data/data/####/TwitterAdvertisingInfoPreferences.xml
- /data/data/####/V2.9.5.txt
- /data/data/####/a4b53f14-d022-4fab-9ddd-0feb4dad3f53
- /data/data/####/aixin.png
- /data/data/####/aoman.png
- /data/data/####/app_setting.xml
- /data/data/####/app_track.xml
- /data/data/####/applog_stats.xml
- /data/data/####/b0141e478b25af7c40a8cca8de6c4708
- /data/data/####/b18a021d11a3004d25017230b681476b
- /data/data/####/b4dc321f-6710-43d7-bf6a-feb1c75ab100
- /data/data/####/be776650-ef9c-4723-8f43-a7a6022e626a
- /data/data/####/bikong.png
- /data/data/####/bizui.png
- /data/data/####/c61913b615fb6224701377a119081f36
- /data/data/####/ciyan.png
- /data/data/####/com.chengren.meihanxiaohuafck-1.apk.classes1974914061.zip
- /data/data/####/com.crashlytics.prefs.xml
- /data/data/####/com.crashlytics.sdk.android;answers;settings.xml
- /data/data/####/com.crashlytics.settings.json
- /data/data/####/com.ss.android.essay.base.followFans_setting.xml
- /data/data/####/com.ss.spipe_setting.xml
- /data/data/####/count.xml
- /data/data/####/custom_channels.xml
- /data/data/####/d3f7d537-8c3e-48cd-8c7c-0cde63b46f56
- /data/data/####/dazuiba.png
- /data/data/####/ddexe
- /data/data/####/debuggerd
- /data/data/####/device.db
- /data/data/####/duqi.png
- /data/data/####/e2cc0eaf-8a1d-4e2e-88c5-a8fa9cf79f38
- /data/data/####/e37325f1-c712-4887-be9c-829bb8fa974f
- /data/data/####/essay.db-journal
- /data/data/####/fadai.png
- /data/data/####/feedback.db-journal
- /data/data/####/feizao.png
- /data/data/####/fileWork
- /data/data/####/firll.dat
- /data/data/####/funny.mp3
- /data/data/####/gaoxing.png
- /data/data/####/haixiu.png
- /data/data/####/haochi.png
- /data/data/####/hehe.png
- /data/data/####/huaixiao.png
- /data/data/####/huang.png
- /data/data/####/huanggua.png
- /data/data/####/initialization_marker
- /data/data/####/install-recovery.sh
- /data/data/####/io.fabric.sdk.android;fabric;io.fabric.sdk.android.o.xml
- /data/data/####/jianfeizao.png
- /data/data/####/jingya.png
- /data/data/####/kr.xml
- /data/data/####/ku.png
- /data/data/####/last_know_location.xml
- /data/data/####/leng.png
- /data/data/####/lpspEUgqvY81KURCsmz6T5zvn3g.-1699433868.tmp
- /data/data/####/mipush.xml
- /data/data/####/mipush_extra.xml
- /data/data/####/mobclick_agent_online_setting_com.chengren.meih...ck.xml
- /data/data/####/multi_process_config.xml
- /data/data/####/multidex.version.xml
- /data/data/####/neiku.png
- /data/data/####/observerFile3
- /data/data/####/offinfo.dat
- /data/data/####/oo.jar
- /data/data/####/penxue.png
- /data/data/####/pidof
- /data/data/####/push_setting.xml
- /data/data/####/qinqin.png
- /data/data/####/rain.mp3
- /data/data/####/renxing.png
- /data/data/####/rh.jar
- /data/data/####/root3
- /data/data/####/sa_6921ffbf-f540-48be-acdc-83c9cebbab1c_1526454770616.tap
- /data/data/####/session_analytics.tap
- /data/data/####/session_analytics.tap (deleted)
- /data/data/####/session_analytics.tap.tmp
- /data/data/####/snssdk_openudid.xml
- /data/data/####/ss_app_config.xml
- /data/data/####/ss_app_log.db-journal
- /data/data/####/ss_location.xml
- /data/data/####/ss_splash_ad.xml
- /data/data/####/su
- /data/data/####/supolicy
- /data/data/####/t_u.db-journal
- /data/data/####/tanqi.png
- /data/data/####/toolbox
- /data/data/####/ts0Izu3AzoYFgQLU6q_TZM5nu8A.535352429.tmp
- /data/data/####/tu.png
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_message_state.xml
- /data/data/####/vbz.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/weiqu.png
- /data/data/####/wsroot.sh
- /data/data/####/wushi.png
- /data/data/####/xiangjiao.png
- /data/data/####/yun.png
- /data/data/####/zhu.png
- /data/media/####/.cuid
- /data/media/####/Alvin2.xml
- /data/media/####/AppShareIcon.jpg
- /data/media/####/ContextData.xml
- /data/media/####/clientudid.dat
- /data/media/####/journal
- /data/media/####/journal.tmp
- /data/media/####/ls.db
- /data/media/####/ls.db-journal
- /data/media/####/yoh.dat
- /data/media/####/yol.dat
- /data/media/####/yom.dat
Другие:
Запускает следующие shell-скрипты:
- /data/user/0/<Package>/lib/libsupervisor.so <Package> com.ss.android.message.NotifyService <Package>:push /data/user/0/<Package> 0
- chmod 777 Matrix ddexe debuggerd device.db fileWork install-recovery.sh pidof root3 su supolicy toolbox wsroot.sh
- chmod 777 Matrix ddexe debuggerd fileWork install-recovery.sh pidof su supolicy toolbox wsroot.sh
- sh
Загружает динамические библиотеки:
- bitmaps
- locSDK5
- memchunk
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- AES-ECB-PKCS7Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- DES
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Осуществляет доступ к информации о зарегистрированных на устройстве аккаунтах (Google, Facebook и тд.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
