Android.Mixi.91

Техническая информация

Вредоносные функции:

Загружает на исполнение код следующих детектируемых угроз:

Android.DownLoader.691.origin
Android.Mixi.16.origin
Android.Mixi.33.origin

Скрывает свою иконку с экрана устройства.

Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) sh.wagbr####.aliyun####.com:80
TCP(HTTP/1.1) hg.hig####.today:80
TCP(HTTP/1.1) www.goo####.software:80
TCP(HTTP/1.1) shl####.top:9999
TCP(HTTP/1.1) api.zhuishu####.com:80
TCP(HTTP/1.1) top.p####.net.####.com:80
TCP(HTTP/1.1) gl####.w.kunl####.####.com:80
TCP(HTTP/1.1) hc.s####.top.####.com:80
TCP(HTTP/1.1) hc.z####.today:8082
TCP(TLS/1.0) ssl.gst####.com:443
TCP(TLS/1.0) 2####.107.1.97:443
TCP(TLS/1.0) www.go####.com:443
TCP(TLS/1.0) sh.wagbr####.alibaba####.com:443
TCP(TLS/1.0) www.gst####.com:443
TCP(TLS/1.0) adser####.go####.com:443
TCP(TLS/1.0) www.go####.nl:443

Запросы DNS:

a####.man.aliy####.com
adser####.go####.com
api.zhuishu####.com
hc.s####.top
hc.z####.today
hg.hig####.today
plb####.u####.com
shl####.top
ssl.gst####.com
sta####.zhuishu####.com
top.p####.net
u####.u####.com
www.go####.com
www.go####.nl
www.goo####.software
www.gst####.com

Запросы HTTP GET:

api.zhuishu####.com/book/55f0e788a5341e52468ec725
api.zhuishu####.com/book/562b578f156f8b223318f61e
api.zhuishu####.com/book/fuzzy-search?query=####
api.zhuishu####.com/cats/lv2
api.zhuishu####.com/mix-atoc/55f0e788a5341e52468ec725?view=####
api.zhuishu####.com/mix-atoc/562b578f156f8b223318f61e?view=####
api.zhuishu####.com/ranking/564d85b6dd2bd1ec660ea8e2
gl####.w.kunl####.####.com/agent//img.17k.com/images/bookcover/2012/1889...
gl####.w.kunl####.####.com/agent//img1.chuangshi.qq.com/chuangshi/p1/def...
gl####.w.kunl####.####.com/agent/http://img.1391.com/api/v1/bookcenter/c...
hc.s####.top.####.com/gpfile/pfiles/1500809497389.slz
hc.s####.top.####.com/gpfile/pfiles/1500809763387.slz
hc.s####.top.####.com/gpfile/pfiles/1500809811269.slz
hc.s####.top.####.com/gpfile/pfiles/1500809824846.slz
hc.s####.top.####.com/gpfile/pfiles/1500809904349.slz
hc.s####.top.####.com/gpfile/pfiles/1500809930147.slz
hc.s####.top.####.com/gpfile/pfiles/1500810016794.slz
hc.s####.top.####.com/gpfile/pfiles/1500810035053.slz
hc.s####.top.####.com/gpfile/pfiles/1500810168210.slz
hc.s####.top.####.com/gpfile/pfiles/gofile/des_V17041702Aj1so32.zip
hc.s####.top.####.com/gpfile/pfiles/new/start_v180521003.dat
hg.hig####.today/cr/sv/getRltNew?eid=####&estatus=####&appkey=####&pid=#...
top.p####.net.####.com/ng/201612/111/c/icon.jpg
top.p####.net.####.com/ng/201612/111/c/pic0.jpg
top.p####.net.####.com/ng/201709/415/c/icon.jpg
top.p####.net.####.com/ng/201709/415/c/pic0.png
top.p####.net.####.com/ng/201709/446/c/icon.png
top.p####.net.####.com/ng/201709/446/c/pic0.jpg
top.p####.net.####.com/ng/201805/787/c/icon.png
top.p####.net.####.com/ng/201805/787/c/pic0.jpg
www.goo####.software/cr/sv/getGoFile?name=####
www.goo####.software/cr/sv/getRecord?eids=####&appKey=####&flag=####

Запросы HTTP POST:

hc.z####.today:8082/spdumread/service/rtLogRecord
hg.hig####.today/cr/sv/getEPList
hg.hig####.today/cr/sv/mList
sh.wagbr####.aliyun####.com/man/api?ak=####&s=####
shl####.top:9999/b9c8b466/028
shl####.top:9999/cca0bb2c/dae
shl####.top:9999/d5086f/db8
shl####.top:9999/o75da10a/3e5b2a
shl####.top:9999/s69d/f0e9b3

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/.imprint
/data/data/####/.jar
/data/data/####/.md
/data/data/####/041365736EEAEF00B4302A1157FDD35F
/data/data/####/1532826140396_V17041702Aj1so32.so
/data/data/####/1805.jar
/data/data/####/1ff1042a851716c02269ebd8ca04aa345d1c7d47c5d20a2....0.tmp
/data/data/####/2582d4ca3afe2e3763bb8e3a2757f5f5958acd3c8e9f187....0.tmp
/data/data/####/258821CB826466AA5E08CC0E4EA4D86D
/data/data/####/29814279111E912D8525A7D2C8F85F68
/data/data/####/3b8a2138d7d694ad473c83dea3b4d65d47840b1bf8cc11d....0.tmp
/data/data/####/402EE6B52C1EAEB8B61E24D92B34F52E
/data/data/####/408.jar
/data/data/####/41384893c2181aafbd199437f375013118be237736153cd....0.tmp
/data/data/####/421.jar
/data/data/####/430.jar
/data/data/####/4d2ee4ec879a47572d5354339ce519df2562f88dfcbe43b....0.tmp
/data/data/####/5c36caa0d00c3ccc572a910a34cf2883e4368ea3ee4d98c....0.tmp
/data/data/####/5soo2DB8520H46
/data/data/####/610.jar
/data/data/####/611.jar
/data/data/####/617.jar
/data/data/####/640.jar
/data/data/####/64d0ece2850ae351ef121ffdd72596775c406de8eb1b1bb....0.tmp
/data/data/####/7261E9ED13D44DC9B6A79D323ADB57FE
/data/data/####/7b232ab56825894c7682a3502ef007cc2a705ef007a6433....0.tmp
/data/data/####/806.jar
/data/data/####/9375ce6d5f25ea27ce59e10635cc1d1924918b37abd982c....0.tmp
/data/data/####/94e490393a5b959030b082343645edda4588a879f09e663....0.tmp
/data/data/####/Alvin2.xml
/data/data/####/B6278D8A7D9F05142EE7F633A0150684
/data/data/####/B6F3E2780CD56B77149676DF07559856
/data/data/####/B89F3435ABAC9A0E01D3EA3822490481
/data/data/####/ContextData.xml
/data/data/####/FA81BCA84960212BAFE528379E8A733D
/data/data/####/MessageStore.db-journal
/data/data/####/MsgLogStore.db-journal
/data/data/####/UM_PROBE_DATA.xml
/data/data/####/a==7.5.0&&1.3.0_1532826137174_envelope.log
/data/data/####/aa492f5fc254656995f7b975a7fa19fd34dbca96201dcb3....0.tmp
/data/data/####/android_system.xml
/data/data/####/b98d7d59c28b35e5b331dda041f9ddccfb9c04d14a263b3....0.tmp
/data/data/####/c794b22c25534c47ddf8f9aa4d868bf992dc222803d4601....0.tmp
/data/data/####/com.good.reader.soo12golden2
/data/data/####/com.good.reader.soo_preferences.xml
/data/data/####/d8f93397ce360b3ef6f468c3274de8ea1685751843ad981....0.tmp
/data/data/####/dcSharedPreferences.dat.xml
/data/data/####/evernote_jobs.db-journal
/data/data/####/evernote_jobs.xml
/data/data/####/exchangeIdentity.json
/data/data/####/exid.dat
/data/data/####/f02302f5f221733bc4c4d9869cc5ec76dfa5a707b55faf8....0.tmp
/data/data/####/f458cdd2bb4185c72f2adc7bffd69cee9469cc94776c45f....0.tmp
/data/data/####/f7911e76d58ca0411b12f0826867cc5b4fe313863f0ce7c....0.tmp
/data/data/####/fe9404bbfb86063fdb99b873970036614ef7e40b139601b....0.tmp
/data/data/####/gpdu
/data/data/####/habit.xml
/data/data/####/hftJcw46N.jar
/data/data/####/httpdns_config_cache.xml
/data/data/####/i==1.2.0&&1.3.0_1532826136730_envelope.log
/data/data/####/info.xml
/data/data/####/journal.tmp
/data/data/####/samsung112.jar
/data/data/####/test
/data/data/####/twsdk.db-journal
/data/data/####/ua.db
/data/data/####/ua.db-journal
/data/data/####/ucucf
/data/data/####/um_pri.xml
/data/data/####/umdat.xml
/data/data/####/umeng_common_config.xml
/data/data/####/umeng_general_config.xml
/data/data/####/umeng_general_config.xml.bak
/data/data/####/umeng_it.cache
/data/data/####/umeng_message_state.xml
/data/data/####/us.908GhK3z1XIE6J7u3B4nRKlfEI88s
/data/data/####/userData.xml
/data/data/####/userDatas.xml
/data/data/####/webview.db-journal
/data/media/####/.a.dat
/data/media/####/.adfwe.dat
/data/media/####/.cca.dat
/data/media/####/.umm.dat
/data/media/####/0ad4eaf8240fa99496887e2e890efd08.cach
/data/media/####/141049494fdd9e72f6be3957f36083b9.cach
/data/media/####/350b40e03cfb67a68396b46ecd1d9cf2.cach
/data/media/####/43e8092717b480ff840cf7fc7470501f.cach
/data/media/####/78ae0d26ca18fbc260ab5a4955fe8c73.cach
/data/media/####/953650ae19be00049fdc8726d17151d9.cach
/data/media/####/9c8c53097faf307aca9ccfdd2d1fa124.cach
/data/media/####/9fa09e7693998b5f1f51e08fb244fb93.cach
/data/media/####/Alvin2.xml
/data/media/####/ContextData.xml
/data/media/####/android_fm.id

Другие:

Запускает следующие shell-скрипты:

/system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
/system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
<Package Folder>/files/.play/test <Package Folder>/files/.play/ c98c128224ed8890024abc9d8924b855
<Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s -h c98c128224ed8890024abc9d8924b855 <Package Folder>/.syslib-
chmod 0771 <Package Folder>/.syslib-
chmod 770 <Package Folder>/files/.play/test
getenforce
ls /
ls /sys/class/thermal
rm -f <Package Folder>/files/hftJcw46N.dex
rm -f <Package Folder>/files/hftJcw46N.jar
rm -f <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s
rm <Package Folder>/files/hftJcw46N.dex
rm <Package Folder>/files/hftJcw46N.jar
rm <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s
sh -c /system/usr/toolbox rm -f <Package Folder>/files/hftJcw46N.dex > /dev/null 2>&1
sh -c /system/usr/toolbox rm -f <Package Folder>/files/hftJcw46N.jar > /dev/null 2>&1
sh -c /system/usr/toolbox rm -f <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s > /dev/null 2>&1
sh -c rm <Package Folder>/files/hftJcw46N.dex > /dev/null 2>&1
sh -c rm <Package Folder>/files/hftJcw46N.jar > /dev/null 2>&1
sh -c rm <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s > /dev/null 2>&1
sh -c rm -f <Package Folder>/files/hftJcw46N.dex > /dev/null 2>&1
sh -c rm -f <Package Folder>/files/hftJcw46N.jar > /dev/null 2>&1
sh -c rm -f <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s > /dev/null 2>&1
sh <Package Folder>/files/.play/test <Package Folder>/files/.play/ c98c128224ed8890024abc9d8924b855
sh <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s -h c98c128224ed8890024abc9d8924b855 <Package Folder>/.syslib-

Загружает динамические библиотеки:

1532826140396_V17041702Aj1so32
ucucf

Использует следующие алгоритмы для шифрования данных:

AES-CBC-PKCS5Padding
AES-CBC-PKCS7Padding
AES-ECB-PKCS5Padding

Использует следующие алгоритмы для расшифровки данных:

AES-CBC-PKCS5Padding
AES-CBC-PKCS7Padding
AES-ECB-PKCS5Padding
DES

Осуществляет доступ к информации о геолокации.

Осуществляет доступ к информации о сети.

Осуществляет доступ к информации о телефоне (номер, imei и тд.).

Осуществляет доступ к информации об установленных приложениях.

Осуществляет доступ к информации о запущенных приложениях.

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней