Техническая информация
Вредоносные функции:
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) sh.wagbr####.aliyun####.com:80
- TCP(HTTP/1.1) i####.2####.com:80
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(HTTP/1.1) ti####.2####.com:80
- TCP(HTTP/1.1) up####.app.2####.com:80
- TCP(HTTP/1.1) www.77ti####.com:80
- TCP(TLS/1.0) res####.a####.com:443
Запросы DNS:
- a####.exc.mob.com
- amap####.cn-hang####.oss####.####.com
- app.50####.org
- i####.2####.com
- res####.a####.com
- ti####.2####.com
- up####.app.2####.com
- www.77ti####.com
Запросы HTTP GET:
- i####.2####.com/toolsimg/calendar/cityFile/upload/595cc113be47a.zip
- i####.2####.com/toolsimg/calendar/dreamFile/upload/59b8e8443c95f.zip
- i####.2####.com/toolsimg/calendar/images/upload/5a1b80e57d213.png
- i####.2####.com/toolsimg/calendar/images/upload/5a828af2013a8.png
- i####.2####.com/toolsimg/calendar/images/upload/5abb6bd138a6e.png
- i####.2####.com/toolsimg/calendar/images/upload/5ac19d06c8c50.png
- i####.2####.com/toolsimg/calendar/images/upload/5ac19ec215011.png
- i####.2####.com/toolsimg/calendar/images/upload/5ac19eccf1f36.png
- i####.2####.com/toolsimg/calendar/images/upload/5ac19eda00a2d.png
- i####.2####.com/toolsimg/calendar/images/upload/5ac19ee5b9941.png
- i####.2####.com/toolsimg/calendar/images/upload/5acc544ea71c6.jpg
- i####.2####.com/toolsimg/calendar/images/upload/5ad04a23d56e1.png
- i####.2####.com/toolsimg/calendar/images/upload/5ad04a85a5f64.png
- i####.2####.com/toolsimg/calendar/images/upload/5ad04b0c3c3fc.png
- i####.2####.com/toolsimg/calendar/images/upload/5af8ecbd2024d.png
- sh.wagbr####.aliyun####.com/sdkcoor/android/x86/libJni_wgs2gcj.so
- ti####.2####.com/api/getCityInfo.php
- ti####.2####.com/api/tqapi/getWeatherByCity?cityId=####&cityType=####&ch...
- www.77ti####.com/frame/api/getCityFile?token=####&channel=####&platform=...
- www.77ti####.com/frame/api/getFesDetail?token=####&channel=####&platform...
- www.77ti####.com/images/prediction/master/start.png
- www.77ti####.com/taibaiimg/calendar/images/upload/5b1a5fdd40c3f.png
- www.77ti####.com/taibaiimg/calendar/images/upload/5b485107a230f.png
- www.77ti####.com/taibaiimg/calendar/images/upload/5b489f7ad380c.png
- www.77ti####.com/taibaiimg/calendar/images/upload/5b51ba5e23a15.png
- www.77ti####.com/taibaiimg/calendar/images/upload/5b59acf02cb80.png
- www.77ti####.com/taibaiimg/calendar/images/upload/5b5ad8238de04.png
- www.77ti####.com/taibaiimg/calendar/images/upload/5b5af57c2981a.png
- www.77ti####.com/taibaiimg/calendar/images/upload/5b6bf1437b2fd.png
- www.77ti####.com/taibaiimg/calendar/images/upload/5b6bf14f7e1af.png
- www.77ti####.com/taibaiimg/calendar/images/upload/5b6bf15adf4d4.png
- www.77ti####.com/taibaiimg/calendar/images/upload/5b6bf1633438a.png
- www.77ti####.com/taibaiimg/calendar/images/upload/5b6bf175051ab.png
- www.77ti####.com/taibaiimg/calendar/images/upload/5b6bf182a4709.png
- www.77ti####.com/taibaiimg/calendar/images/upload/5b6bf18e458a2.png
- www.77ti####.com/taibaiimg/calendar/images/upload/5b6bf1973bd73.png
- www.77ti####.com/taibaiimg/calendar/images/upload/5b6bf19fadeb9.png
- www.77ti####.com/taibaiimg/calendar/images/upload/5b6bf1a6e61ef.png
- www.77ti####.com/taibaiimg/calendar/images/upload/5b6bf1b6eb222.png
- www.77ti####.com/taibaiimg/calendar/images/upload/5b6bf1bf517e8.png
- www.77ti####.com/taibaiimg/calendar/images/upload/5b6c0ed77a53a.png
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- up####.app.2####.com/index.php
- www.77ti####.com/frame/api/GetCalendarDay
- www.77ti####.com/frame/api/GetCalendarWeek
- www.77ti####.com/frame/api/getAdver
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-1546353316-1436797228
- /data/data/####/-1546353316-1909652400
- /data/data/####/-1546353316-1991544427
- /data/data/####/-1546353316-468158927
- /data/data/####/-1546353316-846277416
- /data/data/####/-15463533161000854170
- /data/data/####/-15463533161146932161
- /data/data/####/-15463533161163026658
- /data/data/####/-15463533161764463788
- /data/data/####/-15463533161872032848
- /data/data/####/-15463533162096695896
- /data/data/####/-1546353316568695848
- /data/data/####/-1546353316752293491
- /data/data/####/-2101020426-1859939678
- /data/data/####/-2953196881055927250
- /data/data/####/-2980570951142053137
- /data/data/####/-2980570951837937375
- /data/data/####/-714454398861422868
- /data/data/####/._dream.db
- /data/data/####/.duid
- /data/data/####/.lock
- /data/data/####/.vpl_lock
- /data/data/####/1606358779-1351634050
- /data/data/####/1606358779-1754470643
- /data/data/####/1606358779-1836023858
- /data/data/####/1606358779-1896923643
- /data/data/####/1606358779-2036119592
- /data/data/####/1606358779-2054782675
- /data/data/####/1606358779-504475732
- /data/data/####/1606358779-584415141
- /data/data/####/1606358779-928258365
- /data/data/####/1606358779-9570711
- /data/data/####/16063587791259946736
- /data/data/####/16063587791443725523
- /data/data/####/16063587791691680009
- /data/data/####/16063587791839116083
- /data/data/####/16063587791855414189
- /data/data/####/16063587792058676944
- /data/data/####/1606358779773939047
- /data/data/####/1606358779860404432
- /data/data/####/1606358779873685685
- /data/data/####/160635877989205464
- /data/data/####/1819559064-1531372430
- /data/data/####/2102015271170953999
- /data/data/####/9049084556005.0
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/calendar2345.db-journal
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/city.db
- /data/data/####/com.calendar2345_preferences.xml
- /data/data/####/com.calendar2345_preferences.xml (deleted)
- /data/data/####/daemon
- /data/data/####/dream.db
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/loctemp.so
- /data/data/####/logdb.db
- /data/data/####/logdb.db-journal
- /data/data/####/mipush.xml
- /data/data/####/mipush_extra.xml
- /data/data/####/mob_commons_1
- /data/data/####/mob_sdk_exception_1
- /data/data/####/mobclick_agent_cached_com.calendar234521
- /data/data/####/pref.xml
- /data/data/####/tj2345.db
- /data/data/####/tj2345.db-journal
- /data/data/####/tj2345_event.xml
- /data/data/####/tongji2345.xml
- /data/data/####/tongji2345_app_use.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/user.center.xml
- /data/media/####/-1393353304-1792807228
- /data/media/####/-1708157013-136320403
- /data/media/####/-1708157013-343047376
- /data/media/####/-1708157013-54428376
- /data/media/####/-1708157013-567710424
- /data/media/####/-17081570131008946608
- /data/media/####/-17081570131387065097
- /data/media/####/-1708157013418426796
- /data/media/####/-367861305-1398168558
- /data/media/####/-51216707868579848
- /data/media/####/-704155979-1276716614
- /data/media/####/-942741229106440789
- /data/media/####/.artc_lock
- /data/media/####/.di
- /data/media/####/.dic_lock
- /data/media/####/.duid
- /data/media/####/.globalLock
- /data/media/####/.im_lock
- /data/media/####/.lecd
- /data/media/####/.lesd_lock
- /data/media/####/.mn_-1464060969
- /data/media/####/.nomedia
- /data/media/####/.pkg_lock
- /data/media/####/.pkgs_lock
- /data/media/####/.rc_lock
- /data/media/####/.slw
- /data/media/####/.ss_lock
- /data/media/####/.system_uuid
- /data/media/####/102663585-1100544774
- /data/media/####/102663585-1247980848
- /data/media/####/102663585-1495935334
- /data/media/####/102663585-2079256425
- /data/media/####/102663585-880983913
- /data/media/####/1026635851345735728
- /data/media/####/1026635851444511903
- /data/media/####/1026635852129245486
- /data/media/####/1026635853672389
- /data/media/####/102663585427048074
- /data/media/####/102663585770891298
- /data/media/####/102663585850830707
- /data/media/####/1495671753-1544246549
- /data/media/####/1495671753-1976404871
- /data/media/####/1985580195963817159
- /data/media/####/2103655001-1084246668
- /data/media/####/2103655001-1679714121
- /data/media/####/2103655001-2065975172
- /data/media/####/2103655001-399164204
- /data/media/####/2103655001-480717419
- /data/media/####/2103655001-541617204
- /data/media/####/2103655001-680813153
- /data/media/####/595cc113be47a.zip
- /data/media/####/595cc113be47a.zip.tmp
- /data/media/####/59b8e8443c95f.zip
- /data/media/####/59b8e8443c95f.zip.tmp
- /data/media/####/alsn.db
- /data/media/####/alsn.db-journal
- /data/media/####/journal.tmp
- /data/media/####/log.lock
- /data/media/####/log1.txt
- /data/media/####/lru_key_icon_adver.0.tmp
- /data/media/####/lru_key_information.0.tmp
- /data/media/####/lru_key_insert_adver.0.tmp
- /data/media/####/lru_key_main_tools.0.tmp
- /data/media/####/lru_key_picture_adver.0.tmp
- /data/media/####/lru_key_textual_adver.0.tmp
- /data/media/####/weather_54511_692e92669c0ca340eff4fdcef32896ee_city.0.tmp
Другие:
Запускает следующие shell-скрипты:
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/app_bin/daemon
- sh <Package Folder>/app_bin/daemon -p <Package> -s <Package>.daemon.service.RemoteDaemonService -p1r 39 -p1w 40 -p2r 41 -p2w 42
- sh <Package Folder>/app_bin/daemon -p <Package> -s <Package>.daemon.service.RemoteDaemonService -p1r 39 -p1w 40 -p2r 42 -p2w 43
- sh <Package Folder>/app_bin/daemon -p <Package> -s <Package>.daemon.service.RemoteDaemonService -p1r 39 -p1w 41 -p2r 42 -p2w 43
- sh <Package Folder>/app_bin/daemon -p <Package> -s <Package>.daemon.service.RemoteDaemonService -p1r 40 -p1w 41 -p2r 42 -p2w 43
Загружает динамические библиотеки:
- daemon_api20
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- AES-ECB-PKCS7Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
- AES-ECB-NoPadding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о зарегистрированных на устройстве аккаунтах (Google, Facebook и тд.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
