Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.248.origin
- Android.Triada.373.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) l.ace####.com:80
- TCP(HTTP/1.1) l####.tbs.qq.com:80
- TCP(HTTP/1.1) g####.fire####.com:80
- TCP(HTTP/1.1) d.fire####.com:80
- TCP(HTTP/1.1) cdn-hu####.fire####.com:80
- TCP(HTTP/1.1) c####.op####.cn:80
Запросы DNS:
- a####.u####.com
- c####.op####.cn
- cdn-hu####.fire####.com
- d.fire####.com
- g####.fire####.com
- l####.tbs.qq.com
- l.ace####.com
Запросы HTTP GET:
- c####.op####.cn/king_war/?app_id=1000&game_id=200035&game_key=e4a2e7036a...
- c####.op####.cn/king_war?app_id=1000&game_id=200035&game_key=e4a2e7036a7...
- cdn-hu####.fire####.com/game/images/wx/code.jpg
- cdn-hu####.fire####.com/gc/js/clipboard.min.xd?349a####
- cdn-hu####.fire####.com/gc/js/jquery-3.2.1.min.xd?349a####
- cdn-hu####.fire####.com/gc/js/jweixin-1.0.0.xd
- cdn-hu####.fire####.com/gc/main/css/gamepage.min.css?349a####
- cdn-hu####.fire####.com/gc/main/images/menu-btn/bg_menu_n.png
- cdn-hu####.fire####.com/gc/main/images/menu-btn/icon_menu.png
- cdn-hu####.fire####.com/gc/main/images/menu-btn/icon_redpoint.png
- cdn-hu####.fire####.com/gc/main/images/menu-btn/menu-back.png
- cdn-hu####.fire####.com/gc/main/images/phone.png
- cdn-hu####.fire####.com/gc/main/images/qq.png
- cdn-hu####.fire####.com/gc/main/images/rotation0.png
- cdn-hu####.fire####.com/gc/main/images/wechat.png
- cdn-hu####.fire####.com/gc/main/images/weibo.png
- cdn-hu####.fire####.com/gc/main/js/gamepage.min.xd?349a####
- cdn-hu####.fire####.com/gc/main/js/gameutil.min.xd?349a####
- cdn-hu####.fire####.com/gc/main/js/loginpage.min.xd?349a####
- cdn-hu####.fire####.com/gc/main/js/thirdjs.min.xd?349a####
- cdn-hu####.fire####.com/gc/modules/iscroll/5.3.1/iscroll.xd?349a####
- cdn-hu####.fire####.com/p/17/10/17/p3_5c967d129108e749126de953289ebf86.j...
- cdn-hu####.fire####.com/p/17/12/13/p3_cc53b523a122690e2ce0788d49d2c35f.p...
- cdn-hu####.fire####.com/p/17/12/14/p3_eb4d7284d8353045d5fab9b3e82e202f.p...
- cdn-hu####.fire####.com/p/17/12/14/p3_ff702c6a611ce92d4de09cac9c8c3886.p...
- cdn-hu####.fire####.com/p/18/01/31/p3_c3f74cebdd2d84d8b6de35b282139887.p...
- cdn-hu####.fire####.com/p/18/03/05/p3_63cab3d51b1c1a53b8a192b804a232ab.p...
- cdn-hu####.fire####.com/p/18/03/28/p3_108500545df1fa8bfc545de01fefdf71.p...
- cdn-hu####.fire####.com/p/18/04/12/p3_1abb4fb3134903afc791a2bc4add8336.png
- cdn-hu####.fire####.com/p/18/04/12/p3_b71161a76f9aaf8c4ff0521f8b467917.p...
- cdn-hu####.fire####.com/p/18/04/19/p3_6c06b6c5b7e0fe4d7a8025b1fc213a5c.p...
- cdn-hu####.fire####.com/p/18/04/19/p3_99851fb71ebd291abff0efafefc27c91.p...
- cdn-hu####.fire####.com/p/18/05/14/p3_e17dcd9a92d85dcab66a5e99f990a360.p...
- d.fire####.com/getGameSetting?data=####
- g####.fire####.com/coupon/gamelist?app_id=####&game_id=####
- g####.fire####.com/gc/main/images/menu-btn/touxiangbiankuan.png
- g####.fire####.com/home/ac?action=####
- g####.fire####.com/home/ac?action=####&tryplay=####
Запросы HTTP POST:
- a####.u####.com/app_logs
- d.fire####.com/report/opengame
- d.fire####.com/user/timing
- g####.fire####.com/app/microTipsLogs/reportDeviceinfo
- g####.fire####.com/app/microTipsLogs/reportInstallapp
- g####.fire####.com/home/data
- g####.fire####.com/home/getgamelist
- g####.fire####.com/home/login/appid/1000
- g####.fire####.com/report/opengame
- g####.fire####.com/user/timing
- g####.fire####.com/version/checkupdate/
- l####.tbs.qq.com/ajax?c=####&k=####
- l.ace####.com/ando/v2/lv?app_id=####&r=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/0Ezk4V9APl4q-2fRaGUXJo8A8ynXea_L9cDlQw==.new
- /data/data/####/0ahx3q5EzlaTRgK9XwEUPZXXpJI=.new
- /data/data/####/2n64nNrbfeVXcCnT6BiRiihzMaC1SyKxltBU3rcRTUSv-PB...78Mg==
- /data/data/####/2n64nNrbfeVXcCnT6BiRiihzMaC1SyKxltBU3rcRTUSv-PB...7uQA==
- /data/data/####/2n64nNrbfeVXcCnT6BiRiihzMaC1SyKxltBU3rcRTUSv-PB...ournal
- /data/data/####/2n64nNrbfeVXcCnT6BiRiihzMaC1SyKxltBU3rcRTUSv-PB...qQkq8=
- /data/data/####/2n64nNrbfeVXcCnT6BiRiihzMaC1SyKxltBU3rcRTUSv-PB...t7vCW5
- /data/data/####/3qmOARJJedOo-gnlKVi2_vchnTlqj14x.new
- /data/data/####/5-X-r75svutfB8xfjoDcl5r7cZ0ye_NYTp17KTUs1B4=.new
- /data/data/####/6T8zpV8rrTIar7OZHZC16ZVnsG54IatHny4nsVu3gCE=.new
- /data/data/####/8s-Jl2d-czzbRQL7nCNMv4iY0-A=.new
- /data/data/####/93aJaTymkf4YC0IojbxA4Q==.new
- /data/data/####/DttpiAP0cEXsxd_e
- /data/data/####/GYeH2SCDA8eLl-Z7URUleQ==
- /data/data/####/ISxDfVZ7CKREQ3AUAjyBfjgFz5-k9GVx.new
- /data/data/####/JXmpTOEiHlKWQM6Ir6H_rlLnX_gCjYG28f1EUg==.new
- /data/data/####/MessageStore.db-journal
- /data/data/####/MkOPqED3bAUJAcIGpwP6-89b0USCQl80sgOeiQ==.new
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/P-af52FLQuPd1di6tHd96A==
- /data/data/####/PJKp2J81xowu1kBDC5bUfC9P8-MV04vAsqbqzTYQ3Vw=.new
- /data/data/####/Pz0FP6fuS0k5ShEtKruahkGxutA=.new
- /data/data/####/RbEVoOky0IthqGij.zip
- /data/data/####/Ym-AaeTOI96mtltI703T2HkzQFGPdtVI.new
- /data/data/####/ZbV-lnkMhvQdyys1hr4h0T2AdQFMOw2i.new
- /data/data/####/com.xuangames.fire233.ctc_preferences.xml
- /data/data/####/core_info
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/debug.conf
- /data/data/####/exchangeIdentity.json
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/f_00000b
- /data/data/####/f_00000c
- /data/data/####/f_00000d
- /data/data/####/f_00000e
- /data/data/####/f_00000f
- /data/data/####/f_000010
- /data/data/####/f_000011
- /data/data/####/f_000012
- /data/data/####/f_000013
- /data/data/####/f_000014
- /data/data/####/gwaBrak3aIgPbB1BXkCu4KV87qLoVtJh.new
- /data/data/####/hb37DW24HndDD9BD
- /data/data/####/iKLAdqmYo9Ufg9vEaTKu1sGZRKQ=.new
- /data/data/####/index
- /data/data/####/mnAAziAyBSsAK1nRNveTkA==.new
- /data/data/####/qbfzvq_f.zip
- /data/data/####/r9dWeN5cCMTrNQY5F_W6MDfBgrt5UrQg.new
- /data/data/####/rKl3V3GlVZ6l1JYlU5Sk7OSxMnfx4pq2.new
- /data/data/####/runner_info.prop.new
- /data/data/####/sqwZ9vuv-DJcVngskly5hAPPhupmjxST.new
- /data/data/####/tbs_download_config.xml
- /data/data/####/tbs_download_stat.xml
- /data/data/####/tbscoreinstall.txt
- /data/data/####/tbslock.txt
- /data/data/####/trWH3oVkA8quq91xyJdUxw==.new
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/vCjhlcisOKxJeWWWgfW2ObD6N8g=.new
- /data/data/####/ve37Fuo5IcJtD1VhO1xaaH1LSTl07oUqabn51WmbHmo=.new
- /data/data/####/wLFxSrT0Jzdz9keB00MgFkMNHow=.new
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/xAshCsZCedIBYb1SP5SP_OFs9Hk=.new
- /data/data/####/zHT1Js22AVEmDug9rA7GRQd0Bw8=
- /data/media/####/.nomedia
- /data/media/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=
- /data/media/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
- /data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
- /data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
- /data/media/####/MP8MtaBuguN9jnuSwtN1kQ==
- /data/media/####/r_pkDgN4OhnkSa0D
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/code-3429659/hb37DW24HndDD9BD -p <Package> -a com.uu.action.client -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
- getprop ro.product.cpu.abi
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- RSA-ECB-NoPadding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
