Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.248.origin
- Android.Triada.373.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) l.ace####.com:80
- TCP(HTTP/1.1) 1####.132.26.203:9700
- TCP(HTTP/1.1) img.ace####.com:80
- TCP(HTTP/1.1) loc.map.b####.com:80
- TCP(HTTP/1.1) 1####.196.40.71:9600
- TCP(HTTP/1.1) 1####.196.40.71:9500
Запросы DNS:
- a####.u####.com
- img.ace####.com
- l.ace####.com
- loc.map.b####.com
Запросы HTTP GET:
- img.ace####.com/ando-res/ads/30/14/f15541de-b7bd-4ff9-97fb-9e6cc9e4e044/...
Запросы HTTP POST:
- a####.u####.com/app_logs
- l.ace####.com/ando/v2/ap?app_id=####&r=####
- l.ace####.com/ando/v2/lv?app_id=####&r=####
- l.ace####.com/ando/v2/qa?app_id=####&r=####
- loc.map.b####.com/sdk.php
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/4eConsMEIkBhknWM
- /data/data/####/4ugbHeEJh-e1N13-nuHpDw==.new
- /data/data/####/59bM0Bl7TugbdFvh-yZnYuSKangdhBXL.new
- /data/data/####/5YZfYQRn32IFMfBF-zgn00Re0Mmho8r4.new
- /data/data/####/6C1eaYSb7rE2P_ZS94gcRhexXtY=.new
- /data/data/####/7358f33c-157e-403f-8f70-a11934bd5b1d.pic.temp
- /data/data/####/8FkBUZolL8GLX4ZrKraKPKuFnyQqsJBR.new
- /data/data/####/Alvin2.xml
- /data/data/####/BcKFKj_7BM48u7u7UiDgGh3av8o=.new
- /data/data/####/C.plist
- /data/data/####/C.png
- /data/data/####/ContextData.xml
- /data/data/####/JgVAYn9lFE_go31sjp1Nf-hA3qg=.new
- /data/data/####/M_w9SEF1vNfPBrT4Ei_TmnBXZjtR9bgwJiiRcv3RdAQ=.new
- /data/data/####/NfEXOeoVyr3ERQkXRwKr5Q8lZitA8heopDijvi_bUcM=.new
- /data/data/####/QQ_wTubh2uYENKwaXtob-pbRhYM=.new
- /data/data/####/QmHFbZ4AhskEcVHgtFyiofRBekvHvl00.new
- /data/data/####/S.plist
- /data/data/####/S.png
- /data/data/####/SoAC78bmAXgmWDXnmPofMtiGp0M35ci9.new
- /data/data/####/T.plist
- /data/data/####/T.png
- /data/data/####/X4OPlw5Y42hrcvW8.zip
- /data/data/####/XfDu_9UdhGznHuOAn2BcFoltAsSNZV5Wqwqv3Q==.new
- /data/data/####/_G8hPj_DZzrRr5X2
- /data/data/####/add.mp3
- /data/data/####/addBall_1.png
- /data/data/####/addBall_2.png
- /data/data/####/addone.png
- /data/data/####/atXeGw_URUE7rsLBNzP_fwfHBMGEGVP0.new
- /data/data/####/background.jpg
- /data/data/####/ball.mp3
- /data/data/####/ball.png
- /data/data/####/beginBtn.png
- /data/data/####/bgm.mp3
- /data/data/####/big.mp3
- /data/data/####/bottom.png
- /data/data/####/buy.mp3
- /data/data/####/cancel.png
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/click.mp3
- /data/data/####/close.png
- /data/data/####/da22051e-d79f-46d9-a6af-b4275fc6919e.pic
- /data/data/####/exchangeIdentity.json
- /data/data/####/excit.png
- /data/data/####/exid.dat
- /data/data/####/fY73vgXyg362pkefJlrVKZyDvx_CDXA7qtYPupdwTrA=.new
- /data/data/####/failure.mp3
- /data/data/####/frt8dAlVIf1KEPPjUQFtPKs3MJs-uW7t.new
- /data/data/####/fwEqhyaChuXH5wTDH1xOfwQgpKU=
- /data/data/####/gS3w6AGapcDxhKC4tok9-g==.new
- /data/data/####/gameConfig.xml
- /data/data/####/gameOver.png
- /data/data/####/gift_challange.png
- /data/data/####/gift_daily.png
- /data/data/####/gift_excit.png
- /data/data/####/gift_inspire.png
- /data/data/####/gift_reborn.png
- /data/data/####/gift_secret.png
- /data/data/####/gift_secret_2.png
- /data/data/####/gzxov6S7xUFKmQHNSYE8sw==
- /data/data/####/know.png
- /data/data/####/l69kOmhcOWxBjuxWJAUw0A==.new
- /data/data/####/lead.png
- /data/data/####/leadTip.png
- /data/data/####/libexec.so
- /data/data/####/logo.png
- /data/data/####/m2plmYg6CVcEU5cCqtUqLv7GwkOhPv3y.new
- /data/data/####/mXmB3lQR754yxCorUNuYn24UVUY=.new
- /data/data/####/nufCnsyEM0efJHK2.new
- /data/data/####/o1IvxUtdb585IKU56CT22WWekfWcKZn8v5yqt6FFvTg=.new
- /data/data/####/oAOkZGrnA8NEGTHCOy2RmM2yze-8q5RAW8jvkw==_41MPEg...ournal
- /data/data/####/oAOkZGrnA8NEGTHCOy2RmM2yze-8q5RAW8jvkw==_41MPEgetVBCoe6QP
- /data/data/####/oAOkZGrnA8NEGTHCOy2RmM2yze-8q5RAW8jvkw==_Siuaoz...ournal
- /data/data/####/oAOkZGrnA8NEGTHCOy2RmM2yze-8q5RAW8jvkw==_U2prKB...0BzCM=
- /data/data/####/oAOkZGrnA8NEGTHCOy2RmM2yze-8q5RAW8jvkw==_U2prKB...ournal
- /data/data/####/oAOkZGrnA8NEGTHCOy2RmM2yze-8q5RAW8jvkw==_Zs55zj...TJ5Q==
- /data/data/####/oAOkZGrnA8NEGTHCOy2RmM2yze-8q5RAW8jvkw==_Zs55zj...ournal
- /data/data/####/oAOkZGrnA8NEGTHCOy2RmM2yze-8q5RAW8jvkw==_bPoV5z...WSWw==
- /data/data/####/oAOkZGrnA8NEGTHCOy2RmM2yze-8q5RAW8jvkw==_bPoV5z...ournal
- /data/data/####/p_s_sp.xml
- /data/data/####/physicsAttribute.json
- /data/data/####/pick.png
- /data/data/####/pickBtn.png
- /data/data/####/pickOfFree.png
- /data/data/####/pop_close.png
- /data/data/####/pop_confirm.png
- /data/data/####/qm_p.db-journal
- /data/data/####/rdata_comiglszenvif.new
- /data/data/####/rebornBtn.png
- /data/data/####/restartBtn.png
- /data/data/####/resumeBtn.png
- /data/data/####/runner_info.prop.new
- /data/data/####/secondPop.png
- /data/data/####/secondPop_reborn.png
- /data/data/####/smash.mp3
- /data/data/####/startBtn.png
- /data/data/####/stat.db-journal
- /data/data/####/statement.mp3
- /data/data/####/stop.png
- /data/data/####/t066-X_vCtoqQwdtMd31eqCaI7gzSGBrivdvPQ==.new
- /data/data/####/tY-IE6Y1qrTSl8dyulJG1P1Ctfc=.new
- /data/data/####/tail.png
- /data/data/####/tbzuvg_f.zip
- /data/data/####/temp.txt
- /data/data/####/tip_challenge.png
- /data/data/####/tip_daily.png
- /data/data/####/tip_excit.png
- /data/data/####/tip_guide.png
- /data/data/####/tip_inspire.png
- /data/data/####/tip_newPlayer.png
- /data/data/####/tip_reborn.png
- /data/data/####/tip_secret.png
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/wOGQByvyAy_sJxGjjz4XM8WSKoZcULcG.new
- /data/data/####/xrdEMsNel5WAgjD6VPtyxufgOh6C-IVRac9mpw==.new
- /data/data/####/ySzYApcvKinT6TfVsK6waQ==
- /data/media/####/.uunique
- /data/media/####/.uunique.new
- /data/media/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
- /data/media/####/88466172-c66a-4e82-9e3e-64c093751a50.res
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
- /data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
- /data/media/####/MP8MtaBuguN9jnuSwtN1kQ==
- /data/media/####/r_pkDgN4OhnkSa0D
- /data/media/####/sysid.dat
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/code-4181864/4eConsMEIkBhknWM -p <Package> -c com.iglsz.envif.juicer.AzaleaReceiver -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
- cat /sys/block/mmcblk0/device/cid
- getprop ro.product.cpu.abi
- sh <Package Folder>/code-4181864/4eConsMEIkBhknWM -p <Package> -c com.iglsz.envif.juicer.AzaleaReceiver -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
Загружает динамические библиотеки:
- MyGame
- libexec
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- DES-ECB-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- DES-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
