Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.373.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) l.ace####.com:80
- TCP(HTTP/1.1) 1####.132.26.203:9700
- TCP(HTTP/1.1) loc.map.b####.com:80
- TCP(HTTP/1.1) p####.tc.qq.com:80
- TCP(HTTP/1.1) img.ace####.com:80
- TCP(HTTP/1.1) 1####.196.191.233:6600
- TCP(HTTP/1.1) 1####.196.191.233:6700
- TCP(HTTP/1.1) s####.e.qq.com:80
- TCP(HTTP/1.1) v.g####.qq.com:80
- TCP(HTTP/1.1) 1####.196.40.71:9600
- TCP(HTTP/1.1) 1####.196.40.71:9500
- TCP(HTTP/1.1) mi.g####.qq.com:80
- TCP(HTTP/1.1) s####.tc.qq.com:80
Запросы DNS:
- a####.u####.com
- img.ace####.com
- imgc####.qq.com
- l.ace####.com
- loc.map.b####.com
- mi.g####.qq.com
- p####.g####.cn
- qzones####.g####.cn
- s####.e.qq.com
- v.g####.qq.com
Запросы HTTP GET:
- img.ace####.com/ando-res/ads/6/30/f4a063c6-f627-4a2a-99bd-99c462333881/1...
- mi.g####.qq.com/gdt_mview.fcg?posw=####&posh=####&count=####&r=####&data...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/ad_logo.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/icon-ad.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/icon-close.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/inter_close_lo...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/popup_ad_car_b...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/score.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/tsa_ad_logo.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/tsa_logo.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/interstitial.appcache
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/interstitial.html
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/js-release/20170821/i...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/js/lib/require.js
- p####.tc.qq.com/qzone/biz/gdt/mod/android/AndroidAllInOne/proguard/his/r...
- s####.tc.qq.com/gdt/0/transformer_14531295271002718018_1530025931_114.jp...
- s####.tc.qq.com/gdt/0/transformer_15949747876329245516_1530050399_114.jp...
- s####.tc.qq.com/gdt/0/transformer_2040361296393192195_1530040857_114.jpg...
Запросы HTTP POST:
- a####.u####.com/app_logs
- l.ace####.com/ando/v4/lv?app_id=####&r=####
- l.ace####.com/ando/v4/qa?app_id=####&r=####
- loc.map.b####.com/sdk.php
- s####.e.qq.com/activate
- v.g####.qq.com/gdt_stats.fcg
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-Zmm1FzDK7coHOU-4Sj5ew==.new
- /data/data/####/.imprint
- /data/data/####/3LnXSsiQXNpCycV9
- /data/data/####/7gaVB-oGfmDF6N7isUkTOY6vqV8=
- /data/data/####/8oNOVZpLkX_81IxW-rWYWcWr4l4gkQF6.new
- /data/data/####/Alvin2.xml
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/BuglySdkInfos.xml
- /data/data/####/BxW5DRcOpfytSBN-IFkgL_vQjYcAxL9f.new
- /data/data/####/CharMap.png
- /data/data/####/CharMap_atk.png
- /data/data/####/CharMap_bullet.png
- /data/data/####/CharMap_coin.png
- /data/data/####/CharMap_level.png
- /data/data/####/CharMap_mark.png
- /data/data/####/CharMap_score.png
- /data/data/####/CharMap_tomb.png
- /data/data/####/ChooseMission.csb
- /data/data/####/ContextData.xml
- /data/data/####/GArwgTc4F9ABgtYU
- /data/data/####/GDTSDK.db
- /data/data/####/GDTSDK.db-journal
- /data/data/####/GameFail.csb
- /data/data/####/Infinite barrier_sc.csb
- /data/data/####/L81QhtgUFDY71hvH.new
- /data/data/####/LayerUI.csb
- /data/data/####/Ljw1jkGXyXJLFocinSejzS2qt1xQeKub.new
- /data/data/####/LoadingScene.csb
- /data/data/####/LoadingScene.udf
- /data/data/####/MQP8R0ySzjYREtNBCQCBwYcGfQlPBog59gGn4g==.new
- /data/data/####/MainMenu.csb
- /data/data/####/MissionOver.csb
- /data/data/####/N_jiqySok3STP1tnrR3xkg7gvP6VTeZzv6JfDQ==_-Zx999...N-lg==
- /data/data/####/N_jiqySok3STP1tnrR3xkg7gvP6VTeZzv6JfDQ==_-Zx999...ournal
- /data/data/####/N_jiqySok3STP1tnrR3xkg7gvP6VTeZzv6JfDQ==_1pVT_l...ournal
- /data/data/####/N_jiqySok3STP1tnrR3xkg7gvP6VTeZzv6JfDQ==_1pVT_l...zlPBI=
- /data/data/####/N_jiqySok3STP1tnrR3xkg7gvP6VTeZzv6JfDQ==_3gfdIy...OZhg==
- /data/data/####/N_jiqySok3STP1tnrR3xkg7gvP6VTeZzv6JfDQ==_3gfdIy...ournal
- /data/data/####/N_jiqySok3STP1tnrR3xkg7gvP6VTeZzv6JfDQ==_SLhyhz...ournal
- /data/data/####/N_jiqySok3STP1tnrR3xkg7gvP6VTeZzv6JfDQ==_anb68T...ournal
- /data/data/####/N_jiqySok3STP1tnrR3xkg7gvP6VTeZzv6JfDQ==_anb68TXz8tXuv0zw
- /data/data/####/OYIkXExZh6AjINa8gT3z-b9UjO4=.new
- /data/data/####/PePUAI3YKru2QZZ8n4BcgA==
- /data/data/####/Plist.plist
- /data/data/####/Plist.png
- /data/data/####/Q3oPuY4QokItOr1JkDAG2YR2eCQRsfO7.new
- /data/data/####/RankTable.csb
- /data/data/####/ShQVxT2SWTbpLEwKEs0-AVF6Xd0=.new
- /data/data/####/SthAboutGameScene.plist
- /data/data/####/SthAboutGameScene.png
- /data/data/####/SthAboutGameScene.tps
- /data/data/####/SunFlower_sc.csb
- /data/data/####/TUtq_hzl4ECE_sW9q3UMyPjZvoBFzzV55Ts9-Kzdmzs=.new
- /data/data/####/TaxBullet.csb
- /data/data/####/TaxCoin.csb
- /data/data/####/TaxExit.csb
- /data/data/####/TaxGreat.csb
- /data/data/####/TaxRevive.csb
- /data/data/####/TaxSupport.csb
- /data/data/####/TaxUpgrade.csb
- /data/data/####/VFXVaSBqsp_tyC4jcTV6Yh03mlNI1H4q.new
- /data/data/####/WCw7RPg1KatNfl8oxg-ggekxCs0ALrThzpgd7gxkXdI=.new
- /data/data/####/XVGUEe19Nu0Md5tcOuH30NjA3d_3iDz5.new
- /data/data/####/ZhsdohBUNr1eSZGJim5TGcOk7oj4X_lSqABD6Q==.new
- /data/data/####/a4lXb16A4CeMNArxKg5O9VcpE_gdK41bl6eEiw6jYYw=.new
- /data/data/####/advisor.png
- /data/data/####/ammo.mp3
- /data/data/####/anniu1.png
- /data/data/####/anniu10.png
- /data/data/####/anniu11.png
- /data/data/####/anniu12.png
- /data/data/####/anniu13.png
- /data/data/####/anniu15.png
- /data/data/####/anniu16.png
- /data/data/####/anniu17.png
- /data/data/####/anniu19.png
- /data/data/####/anniu2.png
- /data/data/####/anniu21.png
- /data/data/####/anniu22.png
- /data/data/####/anniu23.png
- /data/data/####/anniu24.png
- /data/data/####/anniu25.png
- /data/data/####/anniu26.png
- /data/data/####/anniu30.png
- /data/data/####/anniu31.png
- /data/data/####/anniu32.png
- /data/data/####/anniu33.png
- /data/data/####/anniu4.png
- /data/data/####/anniu6.png
- /data/data/####/anniu7.png
- /data/data/####/anniu8.png
- /data/data/####/anniu9.png
- /data/data/####/anniu_1_3.png
- /data/data/####/anniu_1_4.png
- /data/data/####/anniu_1_5.png
- /data/data/####/anniu_1_6.png
- /data/data/####/anniu_1_7.png
- /data/data/####/anniu_1_8.png
- /data/data/####/attribute.xml
- /data/data/####/beijing.png
- /data/data/####/bg.png
- /data/data/####/bg_2.png
- /data/data/####/bg_loading.png
- /data/data/####/bg_rec.xml
- /data/data/####/biaoti.png
- /data/data/####/biubiu.mp3
- /data/data/####/blank.png
- /data/data/####/boom.csb
- /data/data/####/boss.csb
- /data/data/####/boss_hurt.png
- /data/data/####/btnOff_fortify.png
- /data/data/####/btnOff_plus.png
- /data/data/####/btnOff_start.png
- /data/data/####/btn_again.png
- /data/data/####/btn_back.png
- /data/data/####/btn_cross.png
- /data/data/####/btn_fortify.png
- /data/data/####/btn_plus.png
- /data/data/####/btn_rank.png
- /data/data/####/btn_result.png
- /data/data/####/btn_sound.png
- /data/data/####/btn_sound_Off.png
- /data/data/####/btn_start.png
- /data/data/####/btn_take.png
- /data/data/####/bucket.csb
- /data/data/####/buji.png
- /data/data/####/bureau.xml
- /data/data/####/cap.csb
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/child.csb
- /data/data/####/coin.png
- /data/data/####/com.s.ypay.apk
- /data/data/####/coveruears.mp3
- /data/data/####/dangerous1.mp3
- /data/data/####/dangerous2.mp3
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/devCloudSetting.cfg
- /data/data/####/devCloudSetting.sig
- /data/data/####/deviation_block.png
- /data/data/####/door.csb
- /data/data/####/down_ar.png
- /data/data/####/duqv1.png
- /data/data/####/duqv2.png
- /data/data/####/duqv3.png
- /data/data/####/duqv4.png
- /data/data/####/duqv5.png
- /data/data/####/duqv6.png
- /data/data/####/duqv7.png
- /data/data/####/duqv8.png
- /data/data/####/duqvbeijing.png
- /data/data/####/e37_GNVAf4Qzso45Fi3Wlw==.new
- /data/data/####/eXHsSz-xtCdXQDJtxlpisSG8B4ifKV2O.new
- /data/data/####/eatSoil.mp3
- /data/data/####/efQCBpfou_jcAlZ5ykISUkxl528=.new
- /data/data/####/eggplant_10.png
- /data/data/####/eggplant_11.png
- /data/data/####/eggplant_12.png
- /data/data/####/eggplant_13.png
- /data/data/####/eggplant_14.png
- /data/data/####/eggplant_15.png
- /data/data/####/eggplant_16.png
- /data/data/####/eggplant_17.png
- /data/data/####/eggplant_18.png
- /data/data/####/eggplant_19.png
- /data/data/####/eggplant_20.png
- /data/data/####/eggplant_21.png
- /data/data/####/eggplant_22.png
- /data/data/####/eggplant_23.png
- /data/data/####/eggplant_24.png
- /data/data/####/eggplant_25.png
- /data/data/####/eggplant_26.png
- /data/data/####/eggplant_27.png
- /data/data/####/eggplant_28.png
- /data/data/####/eggplant_29.png
- /data/data/####/eggplant_5.png
- /data/data/####/eggplant_6.png
- /data/data/####/eggplant_7.png
- /data/data/####/eggplant_8.png
- /data/data/####/eggplant_9.png
- /data/data/####/endlessrock_1.png
- /data/data/####/endlessrock_2.png
- /data/data/####/endlessrock_3.png
- /data/data/####/erci.png
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/fashe01.png
- /data/data/####/fashe02.png
- /data/data/####/fashe03.png
- /data/data/####/fashe04.png
- /data/data/####/fashe05.png
- /data/data/####/fashe06.png
- /data/data/####/fashe07.png
- /data/data/####/fashe08.png
- /data/data/####/fashe09.png
- /data/data/####/fashe10.png
- /data/data/####/fashe11.png
- /data/data/####/fork.png
- /data/data/####/forkWarning.png
- /data/data/####/fountain.csb
- /data/data/####/fqFAbJweeInGTy2Gvq0i-7ZIPnU=.new
- /data/data/####/frost.png
- /data/data/####/fuhuo.png
- /data/data/####/fwTmW0dMKhesrmQwIR6Ba3O7udtF4G-wbqhoiA==.new
- /data/data/####/fy7nOn2B0JXBfky8.zip
- /data/data/####/gameOver.png
- /data/data/####/gdt_config.xml
- /data/data/####/gdt_plugin.jar
- /data/data/####/gdt_plugin.jar.sig
- /data/data/####/gdt_plugin.tmp
- /data/data/####/gdt_plugin.tmp.sig
- /data/data/####/gdt_suid
- /data/data/####/gift.png
- /data/data/####/godblessu.mp3
- /data/data/####/great_gift.png
- /data/data/####/guang2.png
- /data/data/####/guangyun.png
- /data/data/####/guoguan1.png
- /data/data/####/guoguan2.png
- /data/data/####/guoguan3.png
- /data/data/####/guoguan4.png
- /data/data/####/guoguan5.png
- /data/data/####/guoguan6.png
- /data/data/####/guoguan7.png
- /data/data/####/hand.csb
- /data/data/####/handup.mp3
- /data/data/####/haohua.png
- /data/data/####/helmet_plaster.csb
- /data/data/####/helmet_steel.csb
- /data/data/####/index
- /data/data/####/info.png
- /data/data/####/info_upgrade.xml
- /data/data/####/jiangli.png
- /data/data/####/jiangshiL1.png
- /data/data/####/jiangshiL10.png
- /data/data/####/jiangshiL11.png
- /data/data/####/jiangshiL2.png
- /data/data/####/jiangshiL3.png
- /data/data/####/jiangshiL4.png
- /data/data/####/jiangshiL5.png
- /data/data/####/jiangshiL6.png
- /data/data/####/jiangshiL7.png
- /data/data/####/jiangshiL8.png
- /data/data/####/jiangshiL9.png
- /data/data/####/jieshu.png
- /data/data/####/jinbi.png
- /data/data/####/js3_3.csb
- /data/data/####/kJlo7oOR-PFlW7PZZHRh5ksNkb4=.new
- /data/data/####/knife.csb
- /data/data/####/ladder.csb
- /data/data/####/lajiao.png
- /data/data/####/landscape_1.png
- /data/data/####/landscape_2.png
- /data/data/####/landscape_3.png
- /data/data/####/landscape_4.png
- /data/data/####/lbkCzq-57JnUMNvdsEGl7OZ-E92up-aD.new
- /data/data/####/leader.mp3
- /data/data/####/leaderAs.mp3
- /data/data/####/leaderTalk.mp3
- /data/data/####/left_hand.csb
- /data/data/####/libexec.so
- /data/data/####/light.csb
- /data/data/####/machine.csb
- /data/data/####/mission_bar.png
- /data/data/####/mission_bar_bg.png
- /data/data/####/mission_info.json
- /data/data/####/mission_map.json
- /data/data/####/mission_piece.json
- /data/data/####/ndj1uOAJUCjqfZDWXSMJNKncr1E=.new
- /data/data/####/oCoxF33C6p6hBzp33iUWrQ==
- /data/data/####/oach.mp3
- /data/data/####/oj3tYck_xtrnoJeqwm3evxmhk6JpjL_49HebjC8PNXI=.new
- /data/data/####/paihangbang.png
- /data/data/####/paiming1.png
- /data/data/####/paiming2.png
- /data/data/####/paiming3.png
- /data/data/####/paiming4.png
- /data/data/####/paiming5.png
- /data/data/####/pause_Item_continue.png
- /data/data/####/pause_Item_menu.png
- /data/data/####/pause_Item_restart.png
- /data/data/####/pause_rope.png
- /data/data/####/pear.png
- /data/data/####/pearTree.png
- /data/data/####/peck.mp3
- /data/data/####/plant_1.csb
- /data/data/####/plant_2.csb
- /data/data/####/plant_3.csb
- /data/data/####/plant_4.csb
- /data/data/####/plant_5.csb
- /data/data/####/plant_normal.csb
- /data/data/####/plant_upgrade.csb
- /data/data/####/playerNames.xml
- /data/data/####/qiji2.png
- /data/data/####/qiji3.png
- /data/data/####/qiji4.png
- /data/data/####/rag.csb
- /data/data/####/rank.png
- /data/data/####/rankName.xml
- /data/data/####/rank_1.png
- /data/data/####/rank_2.png
- /data/data/####/rank_3.png
- /data/data/####/rank_4.png
- /data/data/####/rank_5.png
- /data/data/####/rdata_comrunzwdivjz.new
- /data/data/####/rec.plist
- /data/data/####/rec.png
- /data/data/####/rename.xml
- /data/data/####/result.png
- /data/data/####/river.mp3
- /data/data/####/runner_info.prop.new
- /data/data/####/sdkCloudSetting.cfg
- /data/data/####/sdkCloudSetting.sig
- /data/data/####/slowly.mp3
- /data/data/####/snow_hand.csb
- /data/data/####/sosad.mp3
- /data/data/####/sp_pause.png
- /data/data/####/sunshine.csb
- /data/data/####/surface.mp3
- /data/data/####/symbolic_1.png
- /data/data/####/symbolic_2.png
- /data/data/####/symbolic_3.png
- /data/data/####/symbolic_4.png
- /data/data/####/temp.zip
- /data/data/####/thdfaq_f.dex
- /data/data/####/thdfaq_f.zip
- /data/data/####/title_main.png
- /data/data/####/tree_sc.csb
- /data/data/####/trueSong.mp3
- /data/data/####/tuichu.png
- /data/data/####/uLTj3nf4ZXDx0M0W7WvW9A==.new
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/unknown.xml
- /data/data/####/unrank.png
- /data/data/####/update_lc
- /data/data/####/uwmoRIo1IP_766lpPBsn_mSnllg=.new
- /data/data/####/veil.csb
- /data/data/####/vi_db_pay-journal
- /data/data/####/warning.csb
- /data/data/####/watering.csb
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/wenzi1.png
- /data/data/####/word_help.png
- /data/data/####/wupaiming.png
- /data/data/####/wuxian.png
- /data/data/####/xing.png
- /data/data/####/zidan.png
- /data/data/####/zidanpolie.png
- /data/data/####/zombie.csb
- /data/data/####/zombie_door.csb
- /data/data/####/zombie_football.csb
- /data/data/####/zombie_hurt.png
- /data/data/####/zombie_ladder.csb
- /data/data/####/zombie_minor.csb
- /data/data/####/zombie_other.plist
- /data/data/####/zombie_other.png
- /data/data/####/zombie_rag.csb
- /data/data/####/zombie_snowman.csb
- /data/media/####/.cfg
- /data/media/####/.uunique.new
- /data/media/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
- /data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
- /data/media/####/MP8MtaBuguN9jnuSwtN1kQ==
- /data/media/####/r_pkDgN4OhnkSa0D
- /data/media/####/sys.lock
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/sh
- <Package Folder>/code-6725421/3LnXSsiQXNpCycV9 -p <Package> -c com.runzw.divjz.nougat.CherryReceiver -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
- cat /sys/block/mmcblk0/device/cid
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.miui.ui.version.name
- getprop ro.product.cpu.abi
- getprop ro.vivo.os.version
- getprop ro.yunos.version
- ls -l /sbin/su
- ls -l /system/bin/su
- ls -l /system/sbin/su
- ls -l /system/xbin/su
- ls -l /vendor/bin/su
- sh <Package Folder>/code-6725421/3LnXSsiQXNpCycV9 -p <Package> -c com.runzw.divjz.nougat.CherryReceiver -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
Загружает динамические библиотеки:
- cocos2dcpp
- libexec
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS7Padding
- DES-ECB-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS7Padding
- DES-ECB-NoPadding
- RSA-ECB-PKCS1Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
