Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Dowgin.14.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) vi.pi.v####.cn:80
- TCP(HTTP/1.1) www.m18.com.####.com:80
- TCP(HTTP/1.1) st####.image-####.com.####.com:80
- TCP(HTTP/1.1) gd.image-####.com.####.com:80
- TCP(HTTP/1.1) sc####.image-####.com:80
- TCP(HTTP/1.1) pam.q####.kr:80
- TCP(HTTP/1.1) dp.image-q####.cn.####.com:80
- TCP(HTTP/1.1) m.api.q####.####.com:80
- TCP(TLS/1.0) m.m18.com.####.net:443
- TCP(TLS/1.0) f####.gst####.com:443
- TCP(TLS/1.0) m####.google####.com:443
- TCP(TLS/1.0) st####.image-q####.cn.####.com:443
- TCP(TLS/1.0) d####.go####.cn:443
- TCP(TLS/1.0) gd.image-q####.cn.####.com:443
- TCP(TLS/1.0) ipx.image-####.com.####.com:443
- TCP(TLS/1.0) f####.google####.com:443
- TCP(TLS/1.0) dp.image-q####.cn.####.com:443
- TCP(TLS/1.0) api.face####.com:443
- TCP(TLS/1.0) st####.image-####.com.####.com:443
- TCP(TLS/1.0) m####.gst####.com:443
- TCP qp####.q####.kr:5222
Запросы DNS:
- d####.go####.cn
- dp.image-q####.cn
- f####.google####.com
- f####.gst####.com
- g####.face####.com
- gd.image-####.com
- gd.image-q####.cn
- ipx.image-####.com
- m####.google####.com
- m####.gst####.com
- m.api.q####.cn
- m.m####.com
- pam.q####.kr
- qp####.q####.kr
- sc####.image-####.com
- st####.image-####.com
- st####.image-q####.cn
- vi.pi.v####.cn
- w####.m18.com
Запросы HTTP GET:
- dp.image-q####.cn.####.com/dp2016/CN/GMKT.IMG/mall/2016/03/22/66b5ee03-7...
- dp.image-q####.cn.####.com/dp2016/CN/GMKT.IMG/mall/2017/02/10/03c40c78-0...
- dp.image-q####.cn.####.com/dp2016/CN/GMKT.IMG/mall/2017/02/10/2704cb09-a...
- dp.image-q####.cn.####.com/dp2016/CN/GMKT.IMG/mall/2017/02/10/8097b178-5...
- dp.image-q####.cn.####.com/dp2016/CN/GMKT.IMG/mall/2017/02/10/94909e73-8...
- dp.image-q####.cn.####.com/dp2016/CN/GMKT.IMG/mall/2017/02/10/9b69cc6a-e...
- dp.image-q####.cn.####.com/dp2016/CN/GMKT.IMG/mall/2017/04/12/f9a0bafa-a...
- dp.image-q####.cn.####.com/dp2016/CN/GMKT.IMG/mall/2018/01/09/68074466-a...
- dp.image-q####.cn.####.com/dp2016/CN/GMKT.IMG/mall/2018/01/24/097d8566-c...
- dp.image-q####.cn.####.com/dp2016/CN/GMKT.IMG/mall/2018/01/24/5c65c1ba-2...
- dp.image-q####.cn.####.com/dp2016/CN/GMKT.IMG/mall/2018/01/24/72b787bb-e...
- gd.image-####.com.####.com/li/040/655/868655040.g_260-w-st_g.jpg
- gd.image-####.com.####.com/li/046/290/571290046.g_230-w-st_g.jpg
- gd.image-####.com.####.com/li/083/290/571290083.g_230-w-st_g.jpg
- gd.image-####.com.####.com/li/091/791/589791091.g_230-w-st_g.jpg
- gd.image-####.com.####.com/li/162/997/1008997162.g_260-w-st_g.jpg
- gd.image-####.com.####.com/li/207/201/595201207.g_160-w-st_g.jpg
- gd.image-####.com.####.com/li/997/289/571289997.g_230-w-st_g.jpg
- sc####.image-####.com/GMKT.INC.FileUpload/ContentsDownload/ShoppingAppCo...
- st####.image-####.com.####.com/li/191/023/879023191.g_260-w-st_g.jpg
- st####.image-####.com.####.com/li/387/037/866037387.g_260-w-st_g.jpg
- st####.image-####.com.####.com/li/432/271/595271432.g_230-w-st_g.jpg
- st####.image-####.com.####.com/li/572/446/866446572.g_260-w-st_g.jpg
- st####.image-####.com.####.com/li/933/289/571289933.g_230-w-st_g.jpg
- st####.image-####.com.####.com/li/965/089/872089965.g_260-w-st_g.jpg
- www.m18.com.####.com/gmkt.inc/Mobile/My/AppViewToday.aspx?__langcd=####&...
- www.m18.com.####.com/gmkt.inc/Mobile/Order/Cart.aspx?referer_page_no=####
- www.m18.com.####.com/gmkt.inc/Mobile/Square/SquareSearchList.aspx?sort=#...
Запросы HTTP POST:
- m.api.q####.####.com/gmkt.inc.front.OpenApiService/MobileAPIService.api/...
- pam.q####.kr/PushAccountServlet?gkey=Aj####
- vi.pi.v####.cn/mn/f796/p25
- vi.pi.v####.cn/mn/f796/q25
- vi.pi.v####.cn/mn/f796/s25
- vi.pi.v####.cn/mn/f796/t25
- vi.pi.v####.cn/mn/f796/w25
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-12704284612138003265
- /data/data/####/-1396184547-1165947344
- /data/data/####/-1396184547605440951
- /data/data/####/-1703549552-831031395
- /data/data/####/1151860300-1613320837
- /data/data/####/1795193200-288894764
- /data/data/####/1795193200275378714
- /data/data/####/_csnetdgdgsdgdsdfgdfgdfgnm_r.xml
- /data/data/####/com.facebook.internal.preferences.APP_SETTINGS.xml
- /data/data/####/com.xpgcv.rsgvu.jar
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/f_00000b
- /data/data/####/f_00000c
- /data/data/####/f_00000d
- /data/data/####/f_00000e
- /data/data/####/f_00000f
- /data/data/####/f_000010
- /data/data/####/f_000011
- /data/data/####/f_000012
- /data/data/####/f_000013
- /data/data/####/f_000014
- /data/data/####/f_000015
- /data/data/####/f_000016
- /data/data/####/f_000017
- /data/data/####/f_000018
- /data/data/####/f_000019
- /data/data/####/f_00001a
- /data/data/####/f_00001b
- /data/data/####/f_00001c
- /data/data/####/f_00001d
- /data/data/####/f_00001e
- /data/data/####/f_00001f
- /data/data/####/f_000020
- /data/data/####/f_000021
- /data/data/####/f_000022
- /data/data/####/f_000023
- /data/data/####/f_000024
- /data/data/####/f_000025
- /data/data/####/f_000026
- /data/data/####/f_000027
- /data/data/####/f_000028
- /data/data/####/f_000029
- /data/data/####/f_00002a
- /data/data/####/f_00002b
- /data/data/####/f_00002c
- /data/data/####/f_00002d
- /data/data/####/f_00002e
- /data/data/####/f_00002f
- /data/data/####/f_000030
- /data/data/####/f_000031
- /data/data/####/f_000032
- /data/data/####/f_000033
- /data/data/####/f_000034
- /data/data/####/f_000035
- /data/data/####/f_000036
- /data/data/####/f_000037
- /data/data/####/f_000038
- /data/data/####/f_000039
- /data/data/####/f_00003a
- /data/data/####/f_00003b
- /data/data/####/f_00003c
- /data/data/####/f_00003d
- /data/data/####/f_00003e
- /data/data/####/f_00003f
- /data/data/####/f_000040
- /data/data/####/f_000041
- /data/data/####/f_000042
- /data/data/####/f_000043
- /data/data/####/f_000044
- /data/data/####/f_000045
- /data/data/####/f_000046
- /data/data/####/f_000047
- /data/data/####/f_000048
- /data/data/####/f_000049
- /data/data/####/f_00004a
- /data/data/####/f_00004b
- /data/data/####/f_00004c
- /data/data/####/f_00004d
- /data/data/####/f_00004e
- /data/data/####/f_00004f
- /data/data/####/f_000050
- /data/data/####/f_000051
- /data/data/####/f_000052
- /data/data/####/f_000053
- /data/data/####/f_000054
- /data/data/####/f_000055
- /data/data/####/f_000056
- /data/data/####/f_000057
- /data/data/####/f_000058
- /data/data/####/f_000059
- /data/data/####/f_00005a
- /data/data/####/f_00005b
- /data/data/####/f_00005c
- /data/data/####/f_00005d
- /data/data/####/f_00005e
- /data/data/####/index
- /data/data/####/local_contents_dir_name.xml
- /data/data/####/local_contents_version.xml
- /data/data/####/net.dgdgsdgds.dfgdfgdfg.nm.xml
- /data/data/####/server_contents_version.xml
- /data/data/####/server_version_check_time.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/-1459560956.tmp
- /data/media/####/-1516471377.tmp
- /data/media/####/-1611663185.tmp
- /data/media/####/-1696973477.tmp
- /data/media/####/-1782022666.tmp
- /data/media/####/-1904110251.tmp
- /data/media/####/-2115751341.tmp
- /data/media/####/-2140064163.tmp
- /data/media/####/-260489717.tmp
- /data/media/####/-594429782.tmp
- /data/media/####/-683484681.tmp
- /data/media/####/-919229601.tmp
- /data/media/####/.nomedia
- /data/media/####/1058486092.tmp
- /data/media/####/1438500783.tmp
- /data/media/####/2018_06_28.txt
- /data/media/####/2141897984.tmp
- /data/media/####/520416005.tmp
- /data/media/####/557990893.tmp
- /data/media/####/690817385.tmp
- /data/media/####/698955916.tmp
- /data/media/####/717571065.tmp
- /data/media/####/845574737.tmp
- /data/media/####/958191024.tmp
- /data/media/####/962159259.tmp
- /data/media/####/982513185.tmp
- /data/media/####/Contents.json
- /data/media/####/ContentsExchangeCurrency.json
- /data/media/####/ContentsMainBanner.json
- /data/media/####/ContentsMainBanner_F.json
- /data/media/####/ContentsMainBanner_M.json
- /data/media/####/ContentsQboxBanner.json
- /data/media/####/Contents_0.json
- /data/media/####/Contents_0_F.json
- /data/media/####/Contents_0_M.json
- /data/media/####/Contents_1.json
- /data/media/####/Contents_10.json
- /data/media/####/Contents_100000002.json
- /data/media/####/Contents_2.json
- /data/media/####/Contents_3.json
- /data/media/####/Contents_4.json
- /data/media/####/Contents_5.json
- /data/media/####/Contents_6.json
- /data/media/####/Contents_Auction.json
- /data/media/####/Contents_DailyDeal.json
- /data/media/####/Contents_DailyDeal_F.json
- /data/media/####/Contents_DailyDeal_M.json
- /data/media/####/Contents_DealPlus.json
- /data/media/####/Contents_F.json
- /data/media/####/Contents_GlobalQshop.json
- /data/media/####/Contents_GroupBuy.json
- /data/media/####/Contents_M.json
- /data/media/####/Contents_QSale.json
- /data/media/####/Contents_SearchBoxAD.json
- /data/media/####/Contents_TimeSale.json
- /data/media/####/Contents_TimeSale_F.json
- /data/media/####/Contents_TimeSale_M.json
- /data/media/####/Contents_TodaysSpecial.json
- /data/media/####/contents_app_info.zip
- /data/media/####/contents_banner.zip
- /data/media/####/contents_best_seller_goods_list_json.zip
- /data/media/####/contents_best_seller_side_menu2_json.zip
- /data/media/####/contents_brand_zone_info_json.zip
- /data/media/####/contents_currency_json.zip
- /data/media/####/contents_event_info2_json.zip
- /data/media/####/contents_group_category_json.zip
- /data/media/####/contents_group_qspecial_banner_json.zip
- /data/media/####/contents_intro_banner_json.zip
- /data/media/####/contents_main_category3.zip
- /data/media/####/contents_multi_lang_json.zip
- /data/media/####/contents_new_side_menu_json.zip
- /data/media/####/contents_qstyle_list.zip
- /data/media/####/contents_recommand_search_keyword_info_json.zip
- /data/media/####/contents_todays_main_json.zip
- /data/media/####/icon_1079.png.dat
- /data/media/####/icon_1080.png.dat
- /data/media/####/icon_1081.png.dat
- /data/media/####/icon_1082.png.dat
- /data/media/####/icon_4712.png.dat
- /data/media/####/icon_4712_2.png.dat
- /data/media/####/icon_4712_3.png.dat
- /data/media/####/icon_4713.png.dat
- /data/media/####/icon_4713_2.png.dat
- /data/media/####/icon_4713_3.png.dat
- /data/media/####/icon_4714.png.dat
- /data/media/####/icon_4714_2.png.dat
- /data/media/####/icon_4714_3.png.dat
- /data/media/####/icon_4715.png.dat
- /data/media/####/icon_4715_2.png.dat
- /data/media/####/icon_4715_3.png.dat
- /data/media/####/icon_4716.png.dat
- /data/media/####/icon_4716_2.png.dat
- /data/media/####/icon_4716_3.png.dat
- /data/media/####/icon_4717.png.dat
- /data/media/####/icon_4717_2.png.dat
- /data/media/####/icon_4717_3.png.dat
- /data/media/####/icon_4718.png.dat
- /data/media/####/icon_4718_2.png.dat
- /data/media/####/icon_4718_3.png.dat
- /data/media/####/icon_4734.png.dat
- /data/media/####/icon_4734_2.png.dat
- /data/media/####/icon_4734_3.png.dat
- /data/media/####/icon_4734_4.png.dat
- /data/media/####/icon_4735.png.dat
- /data/media/####/icon_4735_2.png.dat
- /data/media/####/icon_4735_3.png.dat
- /data/media/####/icon_4735_4.png.dat
- /data/media/####/icon_4736.png.dat
- /data/media/####/icon_4736_2.png.dat
- /data/media/####/icon_4736_3.png.dat
- /data/media/####/icon_4736_4.png.dat
- /data/media/####/icon_4737.png.dat
- /data/media/####/icon_4737_2.png.dat
- /data/media/####/icon_4737_3.png.dat
- /data/media/####/icon_4737_4.png.dat
- /data/media/####/icon_4738.png.dat
- /data/media/####/icon_4738_2.png.dat
- /data/media/####/icon_4738_3.png.dat
- /data/media/####/icon_4738_4.png.dat
- /data/media/####/icon_4739.png.dat
- /data/media/####/icon_4739_2.png.dat
- /data/media/####/icon_4739_3.png.dat
- /data/media/####/icon_4739_4.png.dat
- /data/media/####/image_10755.jpg.dat
- /data/media/####/image_14206.jpg.dat
- /data/media/####/image_165972.png.dat
- /data/media/####/image_173.png.dat
- /data/media/####/image_176175.jpg.dat
- /data/media/####/image_181174.jpg.dat
- /data/media/####/image_182721.jpg.dat
- /data/media/####/image_188756.jpg.dat
- /data/media/####/image_189651.jpg.dat
- /data/media/####/image_193405.jpg.dat
- /data/media/####/image_193440.jpg.dat
- /data/media/####/image_193592.jpg.dat
- /data/media/####/image_193957.jpg.dat
- /data/media/####/image_194242.jpg.dat
- /data/media/####/image_194709.jpg.dat
- /data/media/####/image_194711.jpg.dat
- /data/media/####/image_195534_24.jpg.dat
- /data/media/####/image_202166.jpg.dat
- /data/media/####/image_204213_c3.jpg.dat
- /data/media/####/image_204443.jpg.dat
- /data/media/####/image_204469.jpg.dat
- /data/media/####/image_205896.jpg.dat
- /data/media/####/image_206120.jpg.dat
- /data/media/####/image_207406_b9.jpg.dat
- /data/media/####/image_20802.jpg.dat
- /data/media/####/image_20802.png.dat
- /data/media/####/image_210635_9b.jpg.dat
- /data/media/####/image_210636_12.jpg.dat
- /data/media/####/image_210637_0a.jpg.dat
- /data/media/####/image_210638_32.jpg.dat
- /data/media/####/image_210649_0c.jpg.dat
- /data/media/####/image_210654_63.jpg.dat
- /data/media/####/image_210658_ea.jpg.dat
- /data/media/####/image_22146.jpg.dat
- /data/media/####/image_248.jpg.dat
- /data/media/####/image_25658.jpg.dat
- /data/media/####/image_27371.jpg.dat
- /data/media/####/image_27406.jpg.dat
- /data/media/####/image_27413.jpg.dat
- /data/media/####/image_27448.jpg.dat
- /data/media/####/image_27450.jpg.dat
- /data/media/####/image_27508.jpg.dat
- /data/media/####/image_27508.png.dat
- /data/media/####/image_27598.jpg.dat
- /data/media/####/image_27612.jpg.dat
- /data/media/####/image_27818.jpg.dat
- /data/media/####/image_27821.jpg.dat
- /data/media/####/image_27832.jpg.dat
- /data/media/####/image_27862.jpg.dat
- /data/media/####/image_27902.jpg.dat
- /data/media/####/image_27913.jpg.dat
- /data/media/####/image_27950.jpg.dat
- /data/media/####/image_27959.jpg.dat
- /data/media/####/image_28033.jpg.dat
- /data/media/####/image_30153.jpg.dat
- /data/media/####/image_30872.jpg.dat
- /data/media/####/image_31044.png.dat
- /data/media/####/image_32244.jpg.dat
- /data/media/####/image_32301.jpg.dat
- /data/media/####/image_36041.jpg.dat
- /data/media/####/image_36330.png.dat
- /data/media/####/image_36495.jpg.dat
- /data/media/####/image_36803.jpg.dat
- /data/media/####/image_39572.jpg.dat
- /data/media/####/image_39670.jpg.dat
- /data/media/####/image_446.jpg.dat
- /data/media/####/image_47942.jpg.dat
- /data/media/####/image_50391.gif
- /data/media/####/image_58325.jpg.dat
- /data/media/####/image_60370.jpg.dat
- /data/media/####/image_62935.jpg.dat
- /data/media/####/image_679.jpg.dat
- /data/media/####/main_integration_contents2.zip
- /data/media/####/qsquare_top_menu2_json.zip
- /data/media/####/shopping_talk_group_top_special_banner_json.zip
- /data/media/####/shopping_talk_side_navigation_json.zip
Другие:
Использует следующие алгоритмы для шифрования данных:
- DES
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- DES
- DES-CBC-PKCS5Padding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
