Android.Triada.1439

Техническая информация

Вредоносные функции:

Загружает на исполнение код следующих детектируемых угроз:

Android.Triada.248.origin
Android.Triada.373.origin

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) www.a.sh####.com:80
TCP(HTTP/1.1) www.go####.com:80
TCP(HTTP/1.1) zvi####.v.qin####.com:80
TCP(HTTP/1.1) a####.u####.com:80
TCP(TLS/1.0) ssl.gst####.com:443
TCP(TLS/1.0) acco####.go####.com:443
TCP(TLS/1.0) googl####.g.doublec####.net:443
TCP(TLS/1.0) pay.v####.com.cn:443
TCP(TLS/1.0) yt3.g####.com:443
TCP(TLS/1.0) myacc####.go####.com:443
TCP(TLS/1.0) www.go####.com:443
TCP(TLS/1.0) adser####.go####.nl:443
TCP(TLS/1.0) www.gst####.com:443
TCP(TLS/1.0) ssl.google-####.com:443
TCP(TLS/1.0) s####.g.doublec####.net:443
TCP(TLS/1.0) ssp.v####.com.####.com:443
TCP(TLS/1.0) a####.go####.com:443
TCP(TLS/1.0) p####.go####.com:443
TCP(TLS/1.0) i.y####.com:443
TCP(TLS/1.0) www.go####.nl:443
TCP(TLS/1.0) www.you####.com:443
TCP(TLS/1.0) adser####.go####.com:443

Запросы DNS:

a####.go####.com
a####.u####.com
acco####.go####.com
adser####.go####.com
adser####.go####.nl
f####.gst####.com
f.up.v####.####.cn
googl####.g.doublec####.net
i.y####.com
l.ace####.com
m.you####.com
myacc####.go####.com
p####.go####.com
pay.v####.com.cn
s####.g.doublec####.net
ssl.google-####.com
ssl.gst####.com
ssp.v####.com.cn
www.b####.com
www.go####.com
www.go####.nl
www.gst####.com
www.you####.com
yt3.g####.com

Запросы HTTP GET:

www.a.sh####.com/
www.go####.com/complete/search?hl=####&client=####&q=####

Запросы HTTP POST:

a####.u####.com/app_logs
zvi####.v.qin####.com/usrsys/reportUsrsys?version=####

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/-1143945219847306209
/data/data/####/-HHK52MJNwI65SgButZCXP7i5Z24RCis.new
/data/data/####/.imprint
/data/data/####/0ODJx4Q1jq3F486q_4XMSAaP0LY=.new
/data/data/####/0aDPlFIYoVBjdXg88JJRbg==
/data/data/####/0uY_pAN0VpnZJuZmmwNc0LG3x_St64WE.new
/data/data/####/3Aq3FRhE0iq7egzka4-Q9Fcy4Th7D4ei.new
/data/data/####/6STqO-mld3HwvRPncPlqsbNjMT8=.new
/data/data/####/6TdDQaoQHyzvhQIm.new
/data/data/####/6ji1WKg1wVS7aXPqLXGM2Q==
/data/data/####/94UYNRRSfHRCkT6r.zip
/data/data/####/Alvin2.xml
/data/data/####/BcZXO1ZUoX95PuOhw0gZyUw2sV0=
/data/data/####/ContextData.xml
/data/data/####/D82mUyxjc1pNVo3Oh0GznwJlcWU=.new
/data/data/####/DvBnhRj6IU55IXrHjY6-OSiwzGk=.new
/data/data/####/GameLayer.csb
/data/data/####/GiftLayer.csb
/data/data/####/HelpLayer.csb
/data/data/####/I3YWsxx_qlzoj67eX_qO4SuQ4Co=.new
/data/data/####/InfoLayer.csb
/data/data/####/Jn-cSRngrV8ayIOikOGHhgCFKud1Wcyt.new
/data/data/####/KxaL1HOE5RpBgPhVS2j0daqCBzV3qCP476epJQ==.new
/data/data/####/MHsGXYrmE6AlDsdU4Lnq8AK-fLRnAXJ1.new
/data/data/####/MainLayer.csb
/data/data/####/PfJZbyMcdGtO-UacgLec57Sul1rExQlGgcn4Yw==.new
/data/data/####/Rtj-k8PB--hUI8lohUzyNFA6BkM=.new
/data/data/####/ShopItemNode.csb
/data/data/####/ShopLayer.csb
/data/data/####/TNPg1PmB6iTnEHILBXTAf4PcQGq_3XTnOxbW0Q==.new
/data/data/####/TRtloJXWuQbl7iiyBuAkdg==.new
/data/data/####/Twcrzxj6uPUm7HJ8hO82DYqH6cdnzfxJ3p91hw==_BgLg_h...ournal
/data/data/####/Twcrzxj6uPUm7HJ8hO82DYqH6cdnzfxJ3p91hw==_BgLg_hjR_oqctlbu
/data/data/####/Twcrzxj6uPUm7HJ8hO82DYqH6cdnzfxJ3p91hw==_MX1u4e...MUBg==
/data/data/####/Twcrzxj6uPUm7HJ8hO82DYqH6cdnzfxJ3p91hw==_MX1u4e...ournal
/data/data/####/Twcrzxj6uPUm7HJ8hO82DYqH6cdnzfxJ3p91hw==_P5nvwT...U3Ow==
/data/data/####/Twcrzxj6uPUm7HJ8hO82DYqH6cdnzfxJ3p91hw==_P5nvwT...ournal
/data/data/####/Twcrzxj6uPUm7HJ8hO82DYqH6cdnzfxJ3p91hw==_okzxQf...ournal
/data/data/####/Twcrzxj6uPUm7HJ8hO82DYqH6cdnzfxJ3p91hw==_z2dasQ...ournal
/data/data/####/Twcrzxj6uPUm7HJ8hO82DYqH6cdnzfxJ3p91hw==_z2dasQ...z8HZ8=
/data/data/####/VivoOpenAdSDK.xml
/data/data/####/XVk2HDelaMtgPoaLiElk3mRl73Q4-ev9.new
/data/data/####/Xa8apSfeDLuqfJp6EdmPgPwnjOIz2ZGW.new
/data/data/####/about_str.png
/data/data/####/ball_skin_0_1.png
/data/data/####/ball_skin_10_1.png
/data/data/####/ball_skin_11_1.png
/data/data/####/ball_skin_12_1.png
/data/data/####/ball_skin_13_1.png
/data/data/####/ball_skin_14_1.png
/data/data/####/ball_skin_14_2.png
/data/data/####/ball_skin_14_3.png
/data/data/####/ball_skin_14_4.png
/data/data/####/ball_skin_14_5.png
/data/data/####/ball_skin_15_1.png
/data/data/####/ball_skin_15_2.png
/data/data/####/ball_skin_15_3.png
/data/data/####/ball_skin_15_4.png
/data/data/####/ball_skin_15_5.png
/data/data/####/ball_skin_16_1.png
/data/data/####/ball_skin_16_2.png
/data/data/####/ball_skin_16_3.png
/data/data/####/ball_skin_16_4.png
/data/data/####/ball_skin_16_5.png
/data/data/####/ball_skin_16_6.png
/data/data/####/ball_skin_16_7.png
/data/data/####/ball_skin_16_8.png
/data/data/####/ball_skin_1_1.png
/data/data/####/ball_skin_2_1.png
/data/data/####/ball_skin_3_1.png
/data/data/####/ball_skin_4_1.png
/data/data/####/ball_skin_5_1.png
/data/data/####/ball_skin_6_1.png
/data/data/####/ball_skin_6_2.png
/data/data/####/ball_skin_6_3.png
/data/data/####/ball_skin_6_4.png
/data/data/####/ball_skin_6_5.png
/data/data/####/ball_skin_6_6.png
/data/data/####/ball_skin_7_1.png
/data/data/####/ball_skin_7_2.png
/data/data/####/ball_skin_7_3.png
/data/data/####/ball_skin_7_4.png
/data/data/####/ball_skin_8_1.png
/data/data/####/ball_skin_8_2.png
/data/data/####/ball_skin_8_3.png
/data/data/####/ball_skin_8_4.png
/data/data/####/ball_skin_8_5.png
/data/data/####/ball_skin_8_6.png
/data/data/####/ball_skin_9_1.png
/data/data/####/ball_skin_9_2.png
/data/data/####/ball_skin_9_3.png
/data/data/####/bg_cover.mp3
/data/data/####/c_XLfqiiFcob7pB4EaIDim-qPb0=.new
/data/data/####/cc.db
/data/data/####/cc.db-journal
/data/data/####/chg_b_cl.png
/data/data/####/chg_b_ok0.png
/data/data/####/chg_b_ok1.png
/data/data/####/chg_gift0.png
/data/data/####/chg_gift1.png
/data/data/####/chg_gift10.png
/data/data/####/chg_gift11.png
/data/data/####/chg_gift12.png
/data/data/####/chg_gift13.png
/data/data/####/chg_gift14.png
/data/data/####/chg_gift15.png
/data/data/####/chg_gift2.png
/data/data/####/chg_gift3.png
/data/data/####/chg_gift4.png
/data/data/####/chg_gift5.png
/data/data/####/chg_gift6.png
/data/data/####/chg_gift7.png
/data/data/####/chg_gift8.png
/data/data/####/chg_gift9.png
/data/data/####/chg_kefu.png
/data/data/####/chg_yuan.png
/data/data/####/coin_y.png
/data/data/####/coin_yuan.png
/data/data/####/com.mengshu.dazuozhan.vivo_preferences.xml
/data/data/####/cover.png
/data/data/####/cover_b0.png
/data/data/####/cover_b1.png
/data/data/####/cover_b2.png
/data/data/####/cover_b3.png
/data/data/####/cover_b4.png
/data/data/####/cover_b5.png
/data/data/####/cover_b6.png
/data/data/####/cover_b8.png
/data/data/####/cover_name.png
/data/data/####/cover_name1.png
/data/data/####/cover_name2.png
/data/data/####/cover_player_slot.png
/data/data/####/dianji.png
/data/data/####/ef_avatar.mp3
/data/data/####/ef_button0.mp3
/data/data/####/ef_devour.mp3
/data/data/####/ef_fail.mp3
/data/data/####/ef_spit.mp3
/data/data/####/ef_succ.mp3
/data/data/####/ep3dOn9WE-X3tAyk
/data/data/####/exchangeIdentity.json
/data/data/####/exid.dat
/data/data/####/exit.png
/data/data/####/gcGmyNm3X-eDWF0o
/data/data/####/icon_coin.png
/data/data/####/j-xq2yXH51bY8Jut4t9iSHM3EVheXstnZXReYd_3YTg=.new
/data/data/####/j4NEg2aGwiw5f97kO_VExB20TXrvg2LH1Uf7yIj3nJ4=.new
/data/data/####/jiankanggonggao.png
/data/data/####/line.png
/data/data/####/mall_b_all_01.png
/data/data/####/mall_b_all_02.png
/data/data/####/mall_b_close.png
/data/data/####/mall_b_gold_add.png
/data/data/####/mall_b_gold_bg.png
/data/data/####/mall_b_got_01.png
/data/data/####/mall_b_got_02.png
/data/data/####/mall_bg.png
/data/data/####/mall_skin_achi.png
/data/data/####/mall_skin_bg0.png
/data/data/####/mall_skin_bg1.png
/data/data/####/mall_skin_btn0.png
/data/data/####/mall_skin_btn1.png
/data/data/####/mall_skin_btn2.png
/data/data/####/mall_skin_btn3.png
/data/data/####/mall_skin_btn4.png
/data/data/####/mall_skin_locked.png
/data/data/####/mall_skin_names.png
/data/data/####/mall_title.png
/data/data/####/mall_title_bg.png
/data/data/####/mengshu
/data/data/####/mh6eSbq1WiW5ODVAELqZUJZ8w-UTdSDk.new
/data/data/####/num1.png
/data/data/####/num10.png
/data/data/####/num11.png
/data/data/####/num2.png
/data/data/####/num3.png
/data/data/####/num4.png
/data/data/####/num5.png
/data/data/####/num8.png
/data/data/####/num9.png
/data/data/####/oFHYPHc30mvQg2Ti0ybpP0ZDTGF9utmp223qDyWvqWU=.new
/data/data/####/over_b_back.png
/data/data/####/over_b_replay.png
/data/data/####/over_bg.png
/data/data/####/over_title.png
/data/data/####/owuxfjeI-X12QgR-Rn6ZRg==.new
/data/data/####/particle_shape.png
/data/data/####/particle_spit.png
/data/data/####/pass_title.png
/data/data/####/pause_b_0.png
/data/data/####/pause_b_1.png
/data/data/####/pause_b_2.png
/data/data/####/pause_bg.png
/data/data/####/prefs_vivounionsdk.xml
/data/data/####/rdata_comimvdqduhzk
/data/data/####/rdata_comimvdqduhzk.new
/data/data/####/run_b_avatar.png
/data/data/####/run_b_burst.png
/data/data/####/run_b_grow.png
/data/data/####/run_b_invi.png
/data/data/####/run_b_pause.png
/data/data/####/run_b_spit.png
/data/data/####/run_bg.png
/data/data/####/run_move_panel.png
/data/data/####/run_move_point.png
/data/data/####/run_rank_title.png
/data/data/####/run_rank_top.png
/data/data/####/run_weight_title.png
/data/data/####/runner_info.prop.new
/data/data/####/scroll_str.png
/data/data/####/sdk.xml
/data/data/####/setting_bg.png
/data/data/####/setting_close.png
/data/data/####/setting_sel.png
/data/data/####/skin_faceto.png
/data/data/####/skin_invi_bg.png
/data/data/####/skin_invi_deco.plist
/data/data/####/skin_invi_deco.png
/data/data/####/skin_player_name.png
/data/data/####/skin_player_weight.png
/data/data/####/skin_prick.png
/data/data/####/srfdvw_f.zip
/data/data/####/statistic_info_bg.png
/data/data/####/tY8nLVORK5x8gGcO8-XeuWp7NQbjFJWNSAVxHgYqS3Q=.new
/data/data/####/trackevents.db-journal
/data/data/####/ua.db
/data/data/####/ua.db-journal
/data/data/####/umeng_general_config.xml
/data/data/####/umeng_it.cache
/data/data/####/unionuserinfo.db-journal
/data/data/####/vivo_lib_version.xml
/data/data/####/vivoopenadsdk.db
/data/data/####/vivoopenadsdk.db-journal
/data/data/####/vivounionapk_v2.2.41_a1e788e_201708101947.vua
/data/data/####/xsHfMqP7ciYW_ZK2Iv4Gfw==.new
/data/data/####/yuan.png
/data/media/####/.nomedia
/data/media/####/.uunique.new
/data/media/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
/data/media/####/Alvin2.xml
/data/media/####/ContextData.xml
/data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
/data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
/data/media/####/MP8MtaBuguN9jnuSwtN1kQ==
/data/media/####/r_pkDgN4OhnkSa0D
/data/media/####/sdkaccountinfo.db
/data/media/####/sdkaccountinfo.db-journal
/data/media/####/sysid.dat
/data/media/####/vivounionapk_v2.2.41_a1e788e_201708101947.vua

Другие:

Запускает следующие shell-скрипты:

<Package Folder>/code-3480338/gcGmyNm3X-eDWF0o -p <Package> -c com.imvdq.duhzk.kettle.PlumReceiver -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
getprop ro.build.version.emui
getprop ro.build.version.opporom
getprop ro.miui.ui.version.name
getprop ro.vivo.os.version
getprop ro.yunos.version
sh <Package Folder>/code-3480338/gcGmyNm3X-eDWF0o -p <Package> -c com.imvdq.duhzk.kettle.PlumReceiver -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung

Загружает динамические библиотеки:

cocos2dcpp
vivo_account_sdk

Использует следующие алгоритмы для шифрования данных:

AES-CBC-PKCS5Padding
AES-CBC-PKCS7Padding

Использует следующие алгоритмы для расшифровки данных:

AES-CBC-PKCS7Padding

Осуществляет доступ к информации о геолокации.

Осуществляет доступ к информации о сети.

Осуществляет доступ к информации о телефоне (номер, imei и тд.).

Осуществляет доступ к информации об установленных приложениях.

Осуществляет доступ к информации о запущенных приложениях.

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней