Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Kyview.1.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) tx.rui####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) api.s####.mob.com:80
- TCP(HTTP/1.1) www.ta####.com:80
- TCP(HTTP/1.1) s####.j####.cn:80
- TCP(HTTP/1.1) h5.m.ta####.com:80
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(HTTP/1.1) c.c####.com:80
- TCP(HTTP/1.1) p1.ps####.com:80
- TCP(HTTP/1.1) guaguaz####.oss-cn-####.aliy####.com:80
- TCP(HTTP/1.1) z.c####.com:80
- TCP(HTTP/1.1) man####.newwor####.com:80
- TCP(HTTP/1.1) guagua####.oss-cn-####.aliy####.com:80
- TCP(HTTP/1.1) p3.ps####.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) ser####.guaguaz####.cn:80
- TCP(HTTP/1.1) p9.ps####.com.####.com:80
- TCP(HTTP/1.1) m.ta####.com:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) s####.rui####.com:80
- TCP(HTTP/1.1) i####.sogo####.com.####.com:80
- TCP(TLS/1.0) h5.m.ta####.com:443
- TCP(TLS/1.0) gm.mm####.com:443
- TCP(TLS/1.0) www.v####.com:443
- TCP(TLS/1.0) co####.ad####.cn:443
- TCP(TLS/1.0) wild####.q####.cn.####.net:443
- TCP(TLS/1.0) z.c####.com:443
- TCP(TLS/1.0) c.c####.com:443
- TCP(TLS/1.0) m.ta####.com:443
- TCP 1####.229.215.55:7005
- UDP s.j####.cn:19000
Запросы DNS:
- a####.exc.mob.com
- a####.u####.com
- and####.b####.qq.com
- api.s####.mob.com
- c####.mm####.com
- c.c####.com
- co####.ad####.cn
- guagua####.oss-cn-####.aliy####.com
- guaguaz####.oss-cn-####.aliy####.com
- h5.m.ta####.com
- i####.sogo####.com
- m####.q####.cn
- m.ta####.com
- man####.newwor####.com
- oc.u####.com
- p1.ps####.com
- p3.ps####.com
- p9.ps####.com
- s####.j####.cn
- s####.rui####.com
- s.j####.cn
- s22.c####.com
- ser####.guaguaz####.cn
- tx.rui####.com
- www.ta####.com
- www.v####.com
- z1.c####.com
- z13.c####.com
Запросы HTTP GET:
- c.c####.com/core.php?web_id=####&t=####
- guagua####.oss-cn-####.aliy####.com/jpress/2018/6/3/4abadf14da7520b3f590...
- guagua####.oss-cn-####.aliy####.com/jpress/2018/6/3/7d4f8302888b514b541a...
- guagua####.oss-cn-####.aliy####.com/jpress/2018/6/3/c263db4db60413520c53...
- guagua####.oss-cn-####.aliy####.com/jpress/2018/6/3/caaa467deb33e99a1016...
- guagua####.oss-cn-####.aliy####.com/jpress/2018/6/5/05fcd9a803f86992bbc4...
- guagua####.oss-cn-####.aliy####.com/jpress/2018/6/5/8cb0b0f2f3a784420727...
- guagua####.oss-cn-####.aliy####.com/jpress/2018/6/5/9ac72cc5c389049ed100...
- guagua####.oss-cn-####.aliy####.com/jpress/2018/6/5/b188afd10565df6acaa2...
- guaguaz####.oss-cn-####.aliy####.com/article/images/bronze.png
- guaguaz####.oss-cn-####.aliy####.com/article/images/medal_gold_1.png
- guaguaz####.oss-cn-####.aliy####.com/article/images/remenber.png
- guaguaz####.oss-cn-####.aliy####.com/article/images/silver.png
- h5.m.ta####.com/?sprefer=####
- i####.sogo####.com.####.com/net/a/04/link?appid=####&url=####
- i####.sogo####.com.####.com/net/a/04/link?appid=100520033&url=https://mm...
- m.ta####.com/?sprefer=####
- man####.newwor####.com/upload/image/haofang/20180604/016925_微信图片_2018053...
- p1.ps####.com/large/pgc-image/15280930428087afa670267
- p3.ps####.com/large/pgc-image/1528018100872474d697a68
- p3.ps####.com/large/pgc-image/15282974355278b49267b9b
- p3.ps####.com/large/pgc-image/15283290328765847ff0067
- p9.ps####.com.####.com/large/pgc-image/1528325112982fcb72896a7
- s####.rui####.com/app-share/aarticle?userid=####&articleid=####&v=####&s...
- s####.rui####.com/resources/css/Article_details.css?v=####
- s####.rui####.com/resources/css/common.css?v=####
- s####.rui####.com/resources/css/style.css?v=####
- s####.rui####.com/resources/images/article_icon.png
- s####.rui####.com/resources/images/icon_award.png
- s####.rui####.com/resources/images/icon_award1.png
- s####.rui####.com/resources/js/Article_details.js?v=####
- s####.rui####.com/resources/js/clipboard.min.js
- s####.rui####.com/resources/js/common.js?v=####
- s####.rui####.com/resources/js/jquery-1.9.1.min.js
- tx.rui####.com/app-h5/complain/appc?content_id=####
- tx.rui####.com/app-h5/resources/complain/css/common.css
- tx.rui####.com/app-h5/resources/complain/images/1.png
- tx.rui####.com/app-h5/resources/complain/images/2.png
- tx.rui####.com/app-h5/resources/complain/images/3.png
- tx.rui####.com/app-h5/resources/complain/images/3_on.png
- tx.rui####.com/app-h5/resources/complain/images/suc.png
- tx.rui####.com/app-h5/resources/complain/js/common.js?v=####
- tx.rui####.com/app-h5/resources/complain/js/core.php
- tx.rui####.com/app-h5/resources/complain/js/z_stat.php
- tx.rui####.com/app-h5/resources/complain/js/zepto.min.js
- www.ta####.com/
- z.c####.com/stat.htm?id=####&r=####&lg=####&ntime=####&cnzz_eid=####&sho...
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- a####.u####.com/app_logs
- and####.b####.qq.com/rqd/async
- api.s####.mob.com/conf5
- api.s####.mob.com/conn
- api.s####.mob.com/data2
- api.s####.mob.com/log4
- api.s####.mob.com/snsconf
- oc.u####.com/v2/check_config_update
- oc.u####.com/v2/get_update_time
- s####.j####.cn/v2/report
- ser####.guaguaz####.cn/app-http/api
- tx.rui####.com/app-h5/complain/submitcomplain
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.lock
- /data/data/####/SharedPreferences_ruit.xml
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/bugly_db_legu-journal
- /data/data/####/cc.ruit.guaguatoutiao_preferences.xml
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/f_00000b
- /data/data/####/f_00000c
- /data/data/####/f_00000d
- /data/data/####/f_00000e
- /data/data/####/f_00000f
- /data/data/####/ggz.db-journal
- /data/data/####/index
- /data/data/####/jpush_device_info.xml
- /data/data/####/jpush_local_notification.db
- /data/data/####/jpush_local_notification.db-journal
- /data/data/####/jpush_stat_cache_history.json
- /data/data/####/jpush_statistics.db
- /data/data/####/jpush_statistics.db-journal
- /data/data/####/libnfix.so
- /data/data/####/libshella-2.10.6.0.so
- /data/data/####/local_crash_lock
- /data/data/####/mix.dex
- /data/data/####/mob_sdk_exception_1.xml
- /data/data/####/mobclick_agent_cached_cc.ruit.guaguatoutiao632
- /data/data/####/mobclick_agent_online_setting_cc.ruit.guaguatoutiao.xml
- /data/data/####/native_record_lock
- /data/data/####/reqinfo.db
- /data/data/####/reqinfo.db-journal
- /data/data/####/security_info
- /data/data/####/share_sdk_1.xml
- /data/data/####/sharesdk.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/v5kf_client.xml
- /data/data/####/v5kf_emoticons.db
- /data/data/####/v5kf_emoticons.db-journal
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.ba
- /data/media/####/.dk
- /data/media/####/.lock
- /data/media/####/.push_deviceid
- /data/media/####/00e671878ad55c9f825b6c919cf14202.0
- /data/media/####/05fcd9a803f86992bbc4cff8cbe2cb7e.0
- /data/media/####/1380445ba6be098f052c6f7724e78dfb.0
- /data/media/####/242a41b54864e55b5baf5d05e5d660ef.0
- /data/media/####/28fd1581544ffc5d21e13002a106ffd3.0
- /data/media/####/30ab8ed7ec3defa619943753b9de81a5.0
- /data/media/####/34a77fd222bfc73e9b9a9417c347b8ee.0
- /data/media/####/3f1b90334a36237c77b4dd38a69097f9.0
- /data/media/####/70f86ce531715813d891116459c29576.0
- /data/media/####/748a0d5359afd8b3a343626d01098ade.0
- /data/media/####/7837b7e5b5897d1125802e4290424dd6.0
- /data/media/####/87a9bdf06830adea000305c17d400373.0
- /data/media/####/8a780e09a4c9f94db7316d9d62f0ac50.0
- /data/media/####/9cec2518a4b0909c35d849d230e0b91d.0
- /data/media/####/9d372b7f4c5282b25bf013a52e7322d8.0
- /data/media/####/b30c5953e5bb50e2aa6984112ef47d70.0
- /data/media/####/befd1ff195913993682dd5cf97c2e6ab.0
- /data/media/####/ccb98faa96b09452fd512ebccda389df.0
- /data/media/####/cf2563913fea11cd222fbeb485d6774a.0
- /data/media/####/cfb6fe5a4340514a403929e5315f5262.0
- /data/media/####/eff14afa7a103a8f9cdfc6ead831c056.0
- /data/media/####/fd0fb1ba70cb07940cc8020deb96c4df.0
- /data/media/####/ff09bbb34011a12c2f363e72bf383852.0
- /data/media/####/journal.tmp
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-2.10.6.0.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
Загружает динамические библиотеки:
- Bugly
- jpush215
- libnfix
- libshella-2.10.6.0
- libufix
- neh
- nfix
- ufix
Использует следующие алгоритмы для шифрования данных:
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- DES-CBC-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-NoPadding
- AES-GCM-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
