Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.RemoteCode.41.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) yua####.oss-cn-####.aliy####.com:80
- TCP(HTTP/1.1) p####.tc.qq.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) 1####.23.136.190:9080
- TCP(HTTP/1.1) 1####.77.128.96:8088
- TCP(HTTP/1.1) s####.e.qq.com:80
- TCP(HTTP/1.1) mi.g####.qq.com:80
- TCP(HTTP/1.1) ws####.qq.com:80
- TCP(TLS/1.0) sh.wagbr####.alibaba####.com:443
- TCP(TLS/1.0) and####.cli####.go####.com:443
Запросы DNS:
- and####.b####.qq.com
- and####.cli####.go####.com
- imgc####.qq.com
- mi.g####.qq.com
- mt####.go####.com
- plb####.u####.com
- s####.e.qq.com
- u####.u####.com
- ws####.qq.com
- yua####.oss-cn-####.aliy####.com
Запросы HTTP GET:
- mi.g####.qq.com/gdt_mview.fcg?actual_width=####&count=####&r=####&templa...
- p####.tc.qq.com/qzone/biz/gdt/mod/android/AndroidAllInOne/proguard/his/r...
- ws####.qq.com/w.cgi?releaseversion=####&commandid=####&serverip=####&app...
- yua####.oss-cn-####.aliy####.com/testupload/clearImage/1528373685143.jpg
- yua####.oss-cn-####.aliy####.com/testupload/clearImage/1528699712458.jpg
- yua####.oss-cn-####.aliy####.com/testupload/originalImage/1528373685143....
- yua####.oss-cn-####.aliy####.com/testupload/originalImage/1528699712458....
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528373625912.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528373660229.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528373662060.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528373662183.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528373663450.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528373685143.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528373685849.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528373691389.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528373694724.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528373757429.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528373757955.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528373759499.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528373760256.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528373760926.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528373761877.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528373790229.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528373791815.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528373793977.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528699706839.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528699712458.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528699738601.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528699742039.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528699748250.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528700108626.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528704984297.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528714707803.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528714710342.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528714713857.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528714718928.jpg
- yua####.oss-cn-####.aliy####.com/testupload/thumbnail/1528714719729.jpg
Запросы HTTP POST:
- and####.b####.qq.com/rqd/async
- s####.e.qq.com/activate
- s####.e.qq.com/launch
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/03d0469bd751c12a32e440e4d074b491b1d0d1394a8e3ed....0.tmp
- /data/data/####/05d7d18972fad88bb22f65199636aa7f3effa50b161f8c0....0.tmp
- /data/data/####/068b04735b245f4999c366983cde7938a4bfc7c4219f2e3....0.tmp
- /data/data/####/07ff83d173cc3c5bcc43d6082c573a0a38809f580cc6b28....0.tmp
- /data/data/####/0a77927b03353350f894f6cbefd5fb8f76b722199f2be01....0.tmp
- /data/data/####/0d110ebef709862c20ae444107fa63fbfd1c259dc5e4c83....0.tmp
- /data/data/####/10bb8a6f72970a5bdb9a94994ce41cc9c0a0286c0907972....0.tmp
- /data/data/####/13ddd89e2c589c83873dd893f5bd412f340e048eaf3b62b....0.tmp
- /data/data/####/1c7058ff953485185c81cb3b61b22c5b95341b3fa2b6a1b....0.tmp
- /data/data/####/2238.yaqcookie
- /data/data/####/23674fcd6d3c545872b528fa6531eb8c6aafb0bcf64a5f3....0.tmp
- /data/data/####/23a51206ad5ef536756d1fe3a267f2dbd617f095e8a0142....0.tmp
- /data/data/####/27c2c43dcc3391fe4f449c1972e547d4a8a8e8306e93caa....0.tmp
- /data/data/####/2aeefefa60b58609277c40446371b70fda81be6e55fcb8f....0.tmp
- /data/data/####/2ed3d180e4480c9598a3bdd4b3033319492311c19c82c19....0.tmp
- /data/data/####/303378a09435e22f3354ffaa8798ad207d162f9f94ba228....0.tmp
- /data/data/####/36fe4553718e0b1e26f2e8894728f83180739ed3b5abbbd....0.tmp
- /data/data/####/39384b568693e3c8be54cd7fffa638c84eb7288de6f25db....0.tmp
- /data/data/####/3b30272a2e89296c5f9732edba1f8c51a590970a8bee942....0.tmp
- /data/data/####/3d4f6c6a96c3eae80782518403b7568242130bf6693fce4....0.tmp
- /data/data/####/3f368e6e4f0de50d364dd4374129af3fccb21681c1ec51f....0.tmp
- /data/data/####/44a5df1d551a801540c232b065ff376b5e1ba7c48baea1a....0.tmp
- /data/data/####/46727d2e7591e8ee872dc77781234ba822c837bad44ad06....0.tmp
- /data/data/####/47d2cd136325dd22aafe59e66a5b2106c01948b63c759d4....0.tmp
- /data/data/####/4f05a93cfdcc75eb7a419a74975a4b9186c5756adbfca6b....0.tmp
- /data/data/####/536361c414b1fa2e100711b4df4bab7920e28096f7a2eb6....0.tmp
- /data/data/####/557d74d2a283af09623ebb7db7d0acc77d188e8f836cf0b....0.tmp
- /data/data/####/57127aac83f001da29b0e045c1ab4ed0582f8d46284d22a....0.tmp
- /data/data/####/596886e5f6441548bd7b5256ab3d5f2deac8d12203e2141....0.tmp
- /data/data/####/5ac545b81d910e307cde72d5a7ce47b1b7d31bac12f22f6....0.tmp
- /data/data/####/5c6bb2ab02ecb6ea01b82f33633f48eb043e1ef405fba18....0.tmp
- /data/data/####/657da6fab20d058787068992798fe582aa056f5dab119e2....0.tmp
- /data/data/####/67e3674c2e776c935b73b16c266a43a6ace7f3171af694c....0.tmp
- /data/data/####/68be35e88e8a49f183b08d923a7d59ed569dd1eca7388d6....0.tmp
- /data/data/####/6d6b84061903062f2b778e997cd9c0af4a0ccc2696585bf....0.tmp
- /data/data/####/6e364ace0e158785d8b123279e15ec5af4956808f8e434b....0.tmp
- /data/data/####/7a2f6ffe14f0a3936ac4d7f8545201b1eb2dd53ec38b3f0....0.tmp
- /data/data/####/7b6d82f806bd941c8d07b7740aec5772d5a309298691b21....0.tmp
- /data/data/####/7d005e2582093e2e69417fcf7f3ac678521fb628d80298b....0.tmp
- /data/data/####/7d20de77c2e96bdfb0c2c58e5d329d28e429d4d4f420c7b....0.tmp
- /data/data/####/7f90ac676e4333c9e4abe47cd0ede2eb0e55607569a837a....0.tmp
- /data/data/####/8643910fe18c0687e3a3f6208acc1b1d2d61c851a81cf57....0.tmp
- /data/data/####/887f2d540534ab104925d5a5279c7fa217afeb974ffb0e9....0.tmp
- /data/data/####/9a82f3e12d6c190e131036e71609e9206eb3ab991e75cb8....0.tmp
- /data/data/####/BuglySdkInfos.xml
- /data/data/####/GDTSDK.db
- /data/data/####/GDTSDK.db-journal
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/a2f6ee09efff13430f71215a2f40007000c97c2aa94541c....0.tmp
- /data/data/####/a513addf8f62df60bcca18fd4029c22f520a5829dca8d1c....0.tmp
- /data/data/####/a7c4d30df9e9fa4897aad5a0e08b174ad505faed5c73b3c....0.tmp
- /data/data/####/a==7.5.0&&5.5.7_1530287175634_envelope.log
- /data/data/####/ab079b5687cecb73072e636b1e773cfff6b5159ed966491....0.tmp
- /data/data/####/ac1e104eb2027829c6b8e3419933866733abd96ab55d1b2....0.tmp
- /data/data/####/ac64bd0b70865727e0ba905e8e4ed33adfd632515373a1a....0.tmp
- /data/data/####/af59a9cbc9329135692e10e964aca8a4bff90511040d6b8....0.tmp
- /data/data/####/b1b549c2d2736cdf97bb977a1c6c03c3abea52cbd54ad07....0.tmp
- /data/data/####/b93e7c2348507b8621e2b9621ae3864bd935e7d233a417d....0.tmp
- /data/data/####/bugly_db_legu-journal
- /data/data/####/c2d04da3006ca31f3f28310bae2db57c9333f05996338c1....0.tmp
- /data/data/####/c2ffee827a1f7737b3cf074591663c62edb667ba046bc81....0.tmp
- /data/data/####/c31d2b624237ef07d445b94311b014b1a4cbeb8c6783465....0.tmp
- /data/data/####/c3a6eab9990486e5a147e1f01cebae1bf68644c08cda592....0.tmp
- /data/data/####/c43462c295ba3cd2265df5401eaa528e2560794d924dd5b....0.tmp
- /data/data/####/c9cb10b8e3e55d2076215ea6edf5d18af26a704210a1750....0.tmp
- /data/data/####/d0a151877bb2a6fed174c934af559cc470a53ebddc56d6c....0.tmp
- /data/data/####/d79122e508b86bb16ed0bdaab42490ebc996e39f2ea40e6....0.tmp
- /data/data/####/database-name-journal
- /data/data/####/dcfd1ef62e63f09f05bd0600603dda0c17306f6b52c4498....0.tmp
- /data/data/####/devCloudSetting.cfg
- /data/data/####/devCloudSetting.sig
- /data/data/####/dexMethod.63273144.dat
- /data/data/####/e28866f8b922cba0b14ee750fa09706c387be9d46dd040e....0.tmp
- /data/data/####/e439a68d2aba141b0dc0f469ec6706f2ce01cf230531dbd....0.tmp
- /data/data/####/e5160343ba840c7704345892e5b5a56d51786b705ac4e45....0.tmp
- /data/data/####/e6e048543eec4e9c49a4dc5a145e11b754ad569f70db10e....0.tmp
- /data/data/####/e905cff8165baa53dff50dd2091a98b03a6c045833038ea....0.tmp
- /data/data/####/eb7ab317f271cac6f626738444e0c8c88fc9a8f586f6be6....0.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f075dda18aab79a8b2ef730f8c8512a2de4478a4d82c276....0.tmp
- /data/data/####/f43dc07df08c1056aa856a103048b72938eb9a02d50da78....0.tmp
- /data/data/####/gdt_plugin.dex (deleted)
- /data/data/####/gdt_plugin.jar
- /data/data/####/gdt_plugin.jar.sig
- /data/data/####/gdt_plugin.tmp
- /data/data/####/gdt_plugin.tmp.sig
- /data/data/####/gdt_suid
- /data/data/####/i==1.2.0&&5.5.7_1530287175175_envelope.log
- /data/data/####/i==1.2.0&&5.5.7_1530287206079_envelope.log
- /data/data/####/info.xml
- /data/data/####/journal.tmp
- /data/data/####/libnfix.so
- /data/data/####/libshella-2.8.so
- /data/data/####/libufix.so
- /data/data/####/libyaqbasic.63273144.so
- /data/data/####/libyaqpro.63273144.so
- /data/data/####/local_crash_lock
- /data/data/####/mix.dex
- /data/data/####/native_record_lock
- /data/data/####/sdkCloudSetting.cfg
- /data/data/####/sdkCloudSetting.sig
- /data/data/####/security_info
- /data/data/####/share_data.xml
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/umdat.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/update_lc
- /data/data/####/webview.db-journal
- /data/data/####/yaqsdkcookie
- /data/media/####/.a.dat
- /data/media/####/.adfwe.dat
- /data/media/####/.cca.dat
- /data/media/####/.nomedia
- /data/media/####/.umm.dat
- /data/media/####/1528373685143.jpg
- /data/media/####/1528699712458.jpg
- /data/media/####/sysid.dat
- /data/system/####/wallpaper
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-2.8.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
- ls /
- ls /sys/class/thermal
Загружает динамические библиотеки:
- Bugly
- libnfix
- libshella-2.8
- libufix
- libyaqbasic.63273144
- libyaqpro.63273144
- nfix
- ufix
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Отрисовывает собственные окна поверх других приложений.
