Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.611.origin
Загружает из Интернета следующие детектируемые угрозы:
- Android.DownLoader.611.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ty.taoyuew####.net:80
- TCP(HTTP/1.1) LB-IM-1####.ap-sout####.elb.####.com:80
- TCP(HTTP/1.1) c.g####.qq.com:80
- TCP(HTTP/1.1) ope####.mob####.360.cn:80
- TCP(HTTP/1.1) dn.tc####.com:80
- TCP(HTTP/1.1) s####.tc.qq.com:80
- TCP(HTTP/1.1) sh####.360t####.com:80
- TCP(HTTP/1.1) sia.taol####.cn:80
- TCP(HTTP/1.1) 58.1####.143.27:80
- TCP(HTTP/1.1) p####.tc.qq.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) 08.img####.eas####.com:80
- TCP(HTTP/1.1) s####.e.qq.com:80
- TCP(HTTP/1.1) im####.st####.juhu####.cn:80
- TCP(HTTP/1.1) v.g####.qq.com:80
- TCP(HTTP/1.1) weiboi####.g####.sina####.com:80
- TCP(HTTP/1.1) s.a.longy####.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) dd.m####.t####.####.com:80
- TCP(HTTP/1.1) w####.pcon####.com.cn:80
- TCP(HTTP/1.1) s####.taol####.cn:80
- TCP(HTTP/1.1) pre.bule####.cn:6501
- TCP(HTTP/1.1) d.g####.qq.com:80
- TCP(HTTP/1.1) 1####.25.201.164:8000
- TCP(HTTP/1.1) reso####.msg.xi####.net:80
- TCP(HTTP/1.1) v3.bule####.cn:7001
- TCP(HTTP/1.1) k.36####.com:80
- TCP(HTTP/1.1) 07.img####.eas####.com:80
- TCP(HTTP/1.1) api.tui####.b####.com:80
- TCP(HTTP/1.1) dn.gogo####.top:80
- TCP(HTTP/1.1) mi.g####.qq.com:80
- TCP(HTTP/1.1) api.itaoxia####.com:80
- TCP(TLS/1.0) statson####.pu####.b####.com:443
- TCP(TLS/1.0) regi####.xm####.xi####.com:443
- TCP(TLS/1.0) weiboi####.g####.sina####.com:443
- TCP(TLS/1.0) api.tui####.b####.com:443
- TCP(TLS/1.0) 07.img####.eas####.com:443
- TCP 4####.62.94.2:443
- TCP 47.74.1####.158:5222
- TCP sa.tui####.b####.com:5287
Запросы DNS:
- 01.img####.eas####.com
- 02.img####.eas####.com
- 05.img####.eas####.com
- 07.img####.eas####.com
- 08.img####.eas####.com
- LB-IM-1####.ap-sout####.elb.####.com
- a####.u####.com
- and####.b####.qq.com
- api.itaoxia####.com
- api.tui####.b####.com
- c.g####.qq.com
- d.g####.qq.com
- dd.m####.com
- dn.gogo####.top
- dn.tc####.com
- im####.st####.juhu####.cn
- imgc####.qq.com
- int.d####.s####.####.cn
- k.36####.com
- mi.g####.qq.com
- ope####.mob####.360.cn
- p####.g####.cn
- pp.m####.com
- pre.bule####.cn
- qzones####.g####.cn
- regi####.xm####.xi####.com
- reso####.msg.xi####.net
- rp####.itaoxia####.com
- rp####.itaoxia####.com
- s####.e.qq.com
- s####.taol####.cn
- s####.taol####.cn
- s.a.longy####.com
- sa.tui####.b####.com
- sh####.360t####.com
- sia.taol####.cn
- statson####.pu####.b####.com
- ty.taoyuew####.net
- v.g####.qq.com
- v3.bule####.cn
- w####.pcon####.com.cn
- wx3.sin####.cn
- wx4.sin####.cn
Запросы HTTP GET:
- 07.img####.eas####.com/mobile/20180705/20180705165730_926ca77138e5f6df62...
- 07.img####.eas####.com/mobile/20180706/20180706103732_90f264bafe328b13ef...
- 07.img####.eas####.com/mobile/20180706/20180706_43e544bafcdad21d74de6f58...
- 07.img####.eas####.com/mobile/20180706/20180706_799b6a248695edebf6da85c6...
- 07.img####.eas####.com/mobile/20180706/20180706_b98b58f8b57f5d6c54963e97...
- 08.img####.eas####.com/mobile/20180705/20180705201420_9ff6f1a314c678b89f...
- 08.img####.eas####.com/mobile/20180705/20180705_7c836d1765bb28dac29eb61c...
- 08.img####.eas####.com/mobile/20180705/20180705_a5888a105183f4b7561240d2...
- 08.img####.eas####.com/mobile/20180705/20180705_f68fb343973536b6e37ed226...
- 08.img####.eas####.com/mobile/20180707/20180707072736_504c984515f6da83f9...
- 08.img####.eas####.com/mobile/20180707/20180707_29cedc68e1b740232a9798fe...
- 08.img####.eas####.com/mobile/20180707/20180707_8e1513130c7a198b738461d3...
- 08.img####.eas####.com/mobile/20180707/20180707_ee412bea4c4210a758bc5410...
- 1####.25.201.164:8000/configs/hbnews_options.txt
- LB-IM-1####.ap-sout####.elb.####.com/gslb/?ver=####&type=####&conpt=####...
- api.itaoxia####.com/authopt/get_withdraw_mission_money.do?android_id=###...
- api.itaoxia####.com/get_channels.do?android_id=####&appid=####&brand=###...
- api.itaoxia####.com/get_news_item.do?android_id=####&appid=####&brand=##...
- api.itaoxia####.com/get_news_items.do?android_id=####&appid=####&brand=#...
- api.itaoxia####.com/get_video_channels.do?android_id=####&appid=####&bra...
- api.itaoxia####.com/get_withdraw_orders.do?android_id=####&appid=####&br...
- api.itaoxia####.com/public/v2/get_activity_list.do?android_id=####&appid...
- api.itaoxia####.com/redpaper/dv/get_tuia_share_ads.do?PACKAGE_NAME=####&...
- c.g####.qq.com/gdt_mclick.fcg?viewid=####&jtype=####&i=####&os=####&asi=...
- c.g####.qq.com/gdt_trace_a.fcg?actionid=####&targettype=####&tagetid=###...
- d.g####.qq.com/fcg-bin/gdt_appdetail.fcg?ico=####&op_appid=####
- dd.m####.t####.####.com/16891/59FE906207DD116B73B7D7C9397ED770.apk?fsnam...
- dn.gogo####.top/dnfile/IMG/20180521145007gk8aut.jpg
- dn.gogo####.top/dnfile/IMG/201805211450100pr568.jpg
- dn.gogo####.top/dnfile/Video/20180612150512phyvmv.mp4
- dn.tc####.com/dnfile/shengjibao/VideoHZYi0702_85.jar
- im####.st####.juhu####.cn/ad/jb_up copy.png
- k.36####.com/pc/list?channel_id=####
- k.36####.com/pc/list?n=####&p=####&f=####&ajax=####&channel_id=####
- mi.g####.qq.com/gdt_mview.fcg?actual_width=####&count=####&r=####&templa...
- mi.g####.qq.com/gdt_mview.fcg?posw=####&spsa=####&posh=####&count=####&r...
- ope####.mob####.360.cn/index/d/sid/2369773
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android02/images/tsa_ad_logo.png
- p####.tc.qq.com/qzone/biz/gdt/mod/android/AndroidAllInOne/proguard/his/r...
- reso####.msg.xi####.net/gslb/?ver=####&type=####&conpt=####&uuid=####&li...
- s####.taol####.cn/?idfv=####&ra_net=####&userid=####&cm_o=####&ct_ca=###...
- s####.tc.qq.com/gdt/0/DAAHU5BAKAAPAABXBal93wBZJwnwNY.jpg/0?ck=####
- s####.tc.qq.com/ma_icon/0/icon_42256978_1529568362/256
- sh####.360t####.com/180705/e17b1bf4a43600cbcbca6b79a2cb3d86/com.martian....
- sia.taol####.cn/?idfv=####&ra_net=####&userid=####&cm_o=####&ct_ca=####&...
- sia.taol####.cn/?idfv=####&ra_net=####&userid=####&type=####&cm_o=####&c...
- ty.taoyuew####.net/css/common.css
- ty.taoyuew####.net/poster.html
- v.g####.qq.com/gdt_stats.fcg?viewid=####&i=####&os=####&xp=####&gap=####
- weiboi####.g####.sina####.com/mw690/6954537bly1fiu3ty2kidj20u009ojtz.jpg
Запросы HTTP POST:
- a####.u####.com/app_logs
- and####.b####.qq.com/rqd/async?aid=####
- api.tui####.b####.com/rest/2.0/channel/4449374253466924099
- api.tui####.b####.com/rest/2.0/channel/channel
- pre.bule####.cn:6501/pre/api_settings.aspx
- s####.e.qq.com/activate
- s####.e.qq.com/click
- s####.e.qq.com/msg
- s.a.longy####.com/
- v3.bule####.cn:7001/v3/api_request.aspx
- v3.bule####.cn:7001/v3/api_settings.aspx
- w####.pcon####.com.cn/ip.jsp
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/085e3a4ee372dd4d8c515bd0c4c4eb3e.temp
- /data/data/####/1002
- /data/data/####/1004
- /data/data/####/5ead7c1916e321af3ee0d7d6aa595238.temp
- /data/data/####/Alvin2.xml
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/BuglySdkInfos.xml
- /data/data/####/ContextData.xml
- /data/data/####/GDTSDK.db
- /data/data/####/GDTSDK.db-journal
- /data/data/####/VideoRes.apk
- /data/data/####/XMPushServiceConfig.xml
- /data/data/####/__gather_impl-83641959456855030263.jar
- /data/data/####/__gather_impl.jar
- /data/data/####/bdpush_modeconfig.json
- /data/data/####/bindcache.xml
- /data/data/####/bugly_db_-journal
- /data/data/####/cache-69892387556854733997
- /data/data/####/cache167425706156854916029
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/com.martian.hbnews-1.apk.classes-657016552.zip
- /data/data/####/com.martian.hbnews-1.apk.classes1020200524.zip
- /data/data/####/com.martian.hbnews.BETA_VALUES.xml
- /data/data/####/com.martian.hbnews.push_sync.xml
- /data/data/####/com.martian.hbnews.self_push_sync.xml
- /data/data/####/com.martian.hbnews;pushservice
- /data/data/####/com.martian.hbnews_preferences.xml
- /data/data/####/config.xml
- /data/data/####/config_pre7.xml
- /data/data/####/crashrecord.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/devCloudSetting.cfg
- /data/data/####/devCloudSetting.sig
- /data/data/####/dk_search.db
- /data/data/####/dk_search.db-journal
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f_000001
- /data/data/####/gdt_plugin.jar
- /data/data/####/gdt_plugin.jar.sig
- /data/data/####/gdt_plugin.tmp
- /data/data/####/gdt_plugin.tmp.sig
- /data/data/####/gdt_suid
- /data/data/####/id46088718-8d22-4cf9-ba19-57f005707ece.tmp
- /data/data/####/index
- /data/data/####/libcuid.so
- /data/data/####/libgather.xml
- /data/data/####/lmvideonewad_db-journal
- /data/data/####/local_crash_lock
- /data/data/####/longyun_sdk.xml
- /data/data/####/martian_cache_cookie.json
- /data/data/####/mipush.xml
- /data/data/####/mipush_account.xml
- /data/data/####/mipush_extra.xml
- /data/data/####/multidex.version.xml
- /data/data/####/pst.xml
- /data/data/####/pst.xml.bak
- /data/data/####/pushclient.xml
- /data/data/####/pushinfo.db
- /data/data/####/pushinfo.db-journal
- /data/data/####/pushstat_5.1.0.db
- /data/data/####/pushstat_5.1.0.db-journal
- /data/data/####/sdkCloudSetting.cfg
- /data/data/####/sdkCloudSetting.sig
- /data/data/####/search_sdk.xml
- /data/data/####/search_sdk.xml.bak
- /data/data/####/security_info
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/update_lc
- /data/data/####/videokernel.apk
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/wxoptions_json_file
- /data/media/####/-1381599863.tmp
- /data/media/####/-1468735717.tmp
- /data/media/####/-1483691683
- /data/media/####/-1578894662.tmp
- /data/media/####/-1615174636.tmp
- /data/media/####/-198203290.tmp
- /data/media/####/-2076690465.tmp
- /data/media/####/-370680739.tmp
- /data/media/####/-624263846.tmp
- /data/media/####/-658667923.tmp
- /data/media/####/-68871757.tmp
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/.nomedia
- /data/media/####/1006437470.tmp
- /data/media/####/1030275819.tmp
- /data/media/####/1098957701.tmp
- /data/media/####/1173217260
- /data/media/####/1219462005.tmp
- /data/media/####/14785960.tmp
- /data/media/####/1490740452.tmp
- /data/media/####/1617216015.tmp
- /data/media/####/1835320789.tmp
- /data/media/####/185803948.tmp
- /data/media/####/1981759708.tmp
- /data/media/####/20180612150512phyvmv.mp4
- /data/media/####/2037278664.tmp
- /data/media/####/646268581.tmp
- /data/media/####/712bcb9bc21eb5a7cf3c32282f253b83
- /data/media/####/73769106.tmp
- /data/media/####/860782054.tmp
- /data/media/####/877385819.tmp
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/Videoshell.log
- /data/media/####/com.ss.android.ugc.live.apk_0
- /data/media/####/fcef8968a08b4bd9673e7489cb2b033f
- /data/media/####/kernel.dat
- /data/media/####/log.lock
- /data/media/####/log1.txt
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop
- /system/bin/sh -c type su
- cat /sys/class/net/wlan0/address
- getprop
Загружает динамические библиотеки:
- Bugly
- bdpush_V2_7
- tongdun_db
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- DES-CBC-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
