Android.Mixi.87

Техническая информация

Вредоносные функции:

Загружает на исполнение код следующих детектируемых угроз:

Android.Mixi.16.origin
Android.Mixi.33.origin

Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) hg.hig####.today:80
TCP(HTTP/1.1) b90c####.cdn.uc####.####.cn:80
TCP(HTTP/1.1) sh.wagbr####.aliyun####.com:80
TCP(HTTP/1.1) www.goo####.software:80
TCP(HTTP/1.1) api.zhuishu####.com:80
TCP(HTTP/1.1) gl####.w.kunl####.####.com:80
TCP(HTTP/1.1) hc.z####.today:8082
TCP(TLS/1.0) 2####.58.212.174:443
TCP(TLS/1.0) 2####.107.1.97:443
TCP(TLS/1.0) sh.wagbr####.alibaba####.com:443

Запросы DNS:

a####.man.aliy####.com
api.zhuishu####.com
hc.s####.top
hc.z####.today
hg.hig####.today
plb####.u####.com
sta####.zhuishu####.com
u####.u####.com
www.goo####.software

Запросы HTTP GET:

api.zhuishu####.com/book/5452626400efa87d13dbc17e
api.zhuishu####.com/book/fuzzy-search?query=####
api.zhuishu####.com/cats/lv2
api.zhuishu####.com/mix-atoc/5452626400efa87d13dbc17e?view=####
api.zhuishu####.com/ranking/564d85b6dd2bd1ec660ea8e2
b90c####.cdn.uc####.####.cn/gpfile/pfiles/1500809497389.slz
b90c####.cdn.uc####.####.cn/gpfile/pfiles/1500809763387.slz
b90c####.cdn.uc####.####.cn/gpfile/pfiles/1500809811269.slz
b90c####.cdn.uc####.####.cn/gpfile/pfiles/1500809824846.slz
b90c####.cdn.uc####.####.cn/gpfile/pfiles/1500809904349.slz
b90c####.cdn.uc####.####.cn/gpfile/pfiles/1500809930147.slz
b90c####.cdn.uc####.####.cn/gpfile/pfiles/1500810016794.slz
b90c####.cdn.uc####.####.cn/gpfile/pfiles/1500810035053.slz
b90c####.cdn.uc####.####.cn/gpfile/pfiles/1500810168210.slz
b90c####.cdn.uc####.####.cn/gpfile/pfiles/gofile/des_V17041702Aj1so32.zip
b90c####.cdn.uc####.####.cn/gpfile/pfiles/new/start_v180521003.dat
gl####.w.kunl####.####.com/agent/http://img.1391.com/api/v1/bookcenter/c...
www.goo####.software/cr/sv/getGoFile?name=####
www.goo####.software/cr/sv/getRecord?eids=####&appKey=####&flag=####
www.goo####.software/cr/sv/getRltNew?eid=####&estatus=####&appkey=####&p...

Запросы HTTP POST:

hc.z####.today:8082/spdumread/service/rtLogRecord
hg.hig####.today/cr/sv/getEPList
hg.hig####.today/cr/sv/mList
sh.wagbr####.aliyun####.com/man/api?ak=####&s=####

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/.imprint
/data/data/####/.md
/data/data/####/1529746589501_V17041702Aj1so32.so
/data/data/####/1529746609725_V17041702Aj1so32.so
/data/data/####/1805.jar
/data/data/####/18576EF5686015653B56C0A78D35504F
/data/data/####/3540e9e346914ec889432da6422b5e170960bda0a51038b....0.tmp
/data/data/####/408.jar
/data/data/####/421.jar
/data/data/####/430.jar
/data/data/####/4EA65022BA6364ADD2CAEC8EAB19B524
/data/data/####/5c6a9ccf0f34a13fcdd7c7d4875a8a8cfa9b3eb1f9aaf3f....0.tmp
/data/data/####/5css2DB8520H46
/data/data/####/610.jar
/data/data/####/611.jar
/data/data/####/617.jar
/data/data/####/61FA2A46FD17F48ABB5CBF2F9B2DDE23
/data/data/####/640.jar
/data/data/####/68CBA9AF63ED56491258BB84653A22A1
/data/data/####/77a17965555bf63ada3072ddab78ecef3df3e6cb1a7430f....0.tmp
/data/data/####/7863E77E7EB9FACF5E658A94FBE51B65
/data/data/####/806.jar
/data/data/####/8488dd7f64dfe5157394af30179d25ca45a9474122c4a47....0.tmp
/data/data/####/8A19132029C2509F289C501258EEF52D
/data/data/####/8c7adcde0519b8131496257bac1a5158f84a3c39ae2ceb6....0.tmp
/data/data/####/938F4625E6ACC494511683E061A30C14
/data/data/####/9af133a4f03c27ea4b15ca78f18072ec45c3c10245e4bc5....0.tmp
/data/data/####/Alvin2.xml
/data/data/####/ContextData.xml
/data/data/####/ECA59081A40C6CF41C02802044E54A31
/data/data/####/F88E4572B2EAA1D753668D78610182D5
/data/data/####/MessageStore.db-journal
/data/data/####/MsgLogStore.db-journal
/data/data/####/UM_PROBE_DATA.xml
/data/data/####/a34e13c3941475499876bad5386e30ed2da8ea0b805120e....0.tmp
/data/data/####/a==7.5.0&&1.3.0_1529746586881_envelope.log
/data/data/####/android_system.xml
/data/data/####/b1d329e20295519a19d85e50e1e00053792d3fac2420ee7....0.tmp
/data/data/####/c08e891c68616cdc51c7b9e97f8a472e8c78f4ac45e333f....0.tmp
/data/data/####/c552163e57411ff2ddf4b4b210e9708235ed827db73d345....0.tmp
/data/data/####/com.android.reader.css12golden2
/data/data/####/com.android.reader.css_preferences.xml
/data/data/####/com.android.reader.css_preferences.xml.bak (deleted)
/data/data/####/d2ed7c0f89f4475c4fb91390166f6308b82a7efc1322354....0.tmp
/data/data/####/dcSharedPreferences.dat.xml
/data/data/####/eafd420b352662d4107f2a5c535a0d668faafd70d7b6c2a....0.tmp
/data/data/####/evernote_jobs.db-journal
/data/data/####/evernote_jobs.xml
/data/data/####/evernote_jobs.xml.bak (deleted)
/data/data/####/exchangeIdentity.json
/data/data/####/exid.dat
/data/data/####/gpdu
/data/data/####/habit.xml
/data/data/####/hftJcw46N.jar
/data/data/####/httpdns_config_cache.xml
/data/data/####/i==1.2.0&&1.3.0_1529746586518_envelope.log
/data/data/####/i==1.2.0&&1.3.0_1529746609782_envelope.log
/data/data/####/imese
/data/data/####/info.xml
/data/data/####/journal.tmp
/data/data/####/samsung112.jar
/data/data/####/test
/data/data/####/ua.db
/data/data/####/ua.db-journal
/data/data/####/um_pri.xml
/data/data/####/umdat.xml
/data/data/####/umeng_common_config.xml
/data/data/####/umeng_general_config.xml
/data/data/####/umeng_it.cache
/data/data/####/umeng_message_state.xml
/data/data/####/us.908GhK3z1XIE6J7u3B4nRKlfEI88s
/data/media/####/.a.dat
/data/media/####/.adfwe.dat
/data/media/####/.cca.dat
/data/media/####/.umm.dat
/data/media/####/Alvin2.xml
/data/media/####/ContextData.xml
/data/media/####/android_fm.id
/data/media/####/sysid.dat

Другие:

Запускает следующие shell-скрипты:

/system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
/system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
<Package Folder>/files/.play/test <Package Folder>/files/.play/ c98c128201ed8896901abc9d8901b842
<Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s -h c98c128201ed8896901abc9d8901b842 <Package Folder>/.syslib-
chmod 0771 <Package Folder>/.syslib-
chmod 770 <Package Folder>/files/.play/test
getenforce
ls /
ls /sys/class/thermal
rm -f <Package Folder>/files/hftJcw46N.dex
rm -f <Package Folder>/files/hftJcw46N.jar
rm -f <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s
rm <Package Folder>/files/hftJcw46N.dex
rm <Package Folder>/files/hftJcw46N.jar
rm <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s
sh -c /system/usr/toolbox rm -f <Package Folder>/files/hftJcw46N.dex > /dev/null 2>&1
sh -c /system/usr/toolbox rm -f <Package Folder>/files/hftJcw46N.jar > /dev/null 2>&1
sh -c /system/usr/toolbox rm -f <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s > /dev/null 2>&1
sh -c rm <Package Folder>/files/hftJcw46N.dex > /dev/null 2>&1
sh -c rm <Package Folder>/files/hftJcw46N.jar > /dev/null 2>&1
sh -c rm <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s > /dev/null 2>&1
sh -c rm -f <Package Folder>/files/hftJcw46N.dex > /dev/null 2>&1
sh -c rm -f <Package Folder>/files/hftJcw46N.jar > /dev/null 2>&1
sh -c rm -f <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s > /dev/null 2>&1
sh <Package Folder>/files/.play/test <Package Folder>/files/.play/ c98c128201ed8896901abc9d8901b842
sh <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s -h c98c128201ed8896901abc9d8901b842 <Package Folder>/.syslib-

Загружает динамические библиотеки:

1529746589501_V17041702Aj1so32
1529746609725_V17041702Aj1so32
imese

Использует следующие алгоритмы для шифрования данных:

AES-CBC-PKCS5Padding
AES-CBC-PKCS7Padding
AES-ECB-PKCS5Padding

Использует следующие алгоритмы для расшифровки данных:

AES-CBC-PKCS5Padding
AES-CBC-PKCS7Padding
AES-ECB-PKCS5Padding

Осуществляет доступ к информации о геолокации.

Осуществляет доступ к информации о сети.

Осуществляет доступ к информации о телефоне (номер, imei и тд.).

Осуществляет доступ к информации об установленных приложениях.

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней