Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.RemoteCode.155.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) t####.m####.com:80
- TCP(HTTP/1.1) reso####.msg.xi####.net:80
- TCP(HTTP/1.1) l####.tbs.qq.com:80
- TCP(HTTP/1.1) c####.meme####.com:80
- TCP(HTTP/1.1) gl####.w.kunl####.####.com:80
- TCP(HTTP/1.1) api.meme####.com:80
- TCP(HTTP/1.1) zt-adfi####.oss-cn-####.aliy####.com:80
- TCP(HTTP/1.1) www.m####.com:80
- TCP(HTTP/1.1) r####.uu.qq.com:80
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) encrypt####.gst####.com:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) regi####.xm####.xi####.com:443
- TCP(TLS/1.0) adser####.go####.com:443
- TCP 47.74.1####.158:5222
- TCP 4####.62.94.2:443
Запросы DNS:
- adser####.go####.com
- api.meme####.com
- c####.meme####.com
- encrypt####.gst####.com
- img.su####.com
- l####.tbs.qq.com
- r####.uu.qq.com
- regi####.xm####.xi####.com
- reso####.msg.xi####.net
- ssl.gst####.com
- t####.m####.com
- ws.meme####.com
- www.go####.com
- www.go####.nl
- www.gst####.com
- www.m####.com
- zt-adfi####.oss-cn-####.aliy####.com
Запросы HTTP GET:
- api.meme####.com/activity/packet_list
- api.meme####.com/app/index
- api.meme####.com/properties/list
- api.meme####.com/public/blackword_list/0
- api.meme####.com/public/blackword_list/1
- api.meme####.com/public/inform?size=####&type=####
- api.meme####.com/public/poster/2
- api.meme####.com/public/room_list?page=####&live=####&size=####&sort=####
- api.meme####.com/public/t_hex
- api.meme####.com/show/bell_gift_list
- api.meme####.com/show/cars_list
- api.meme####.com/show/gift_list
- api.meme####.com/zone/mission_num
- gl####.w.kunl####.####.com/11/3/1493376936139.jpg
- gl####.w.kunl####.####.com/12/4/1404113913292.jpg
- gl####.w.kunl####.####.com/12/4/1404114730316.jpg
- gl####.w.kunl####.####.com/12/4/1438840897548.jpg
- gl####.w.kunl####.####.com/13/5/1404114930829.jpg
- gl####.w.kunl####.####.com/13/5/1461739023373.jpg
- gl####.w.kunl####.####.com/13/5/1492522388813.jpg
- gl####.w.kunl####.####.com/14/6/1438829296398.jpg
- gl####.w.kunl####.####.com/16/0/1404113557712.jpg
- gl####.w.kunl####.####.com/17/1/1494842897425.jpg
- gl####.w.kunl####.####.com/18/2/1433988334482.jpg
- gl####.w.kunl####.####.com/20/4/1433988048788.jpg
- gl####.w.kunl####.####.com/20/4/1441537079572.jpg
- gl####.w.kunl####.####.com/20/4/1492536061844.jpg
- gl####.w.kunl####.####.com/21/5/1441591456725.jpg
- gl####.w.kunl####.####.com/21/5/1492523049237.jpg
- gl####.w.kunl####.####.com/22/6/1415844433046.jpg
- gl####.w.kunl####.####.com/23/7/1436780351255.jpg
- gl####.w.kunl####.####.com/23/7/1442305926679.jpg
- gl####.w.kunl####.####.com/23/7/1442374000663.jpg
- gl####.w.kunl####.####.com/24/0/1493376950232.jpg
- gl####.w.kunl####.####.com/25/1/1437535043033.jpg
- gl####.w.kunl####.####.com/25/1/1493376825241.jpg
- gl####.w.kunl####.####.com/27/3/1408010576603.jpg
- gl####.w.kunl####.####.com/27/3/1492522345371.jpg
- gl####.w.kunl####.####.com/27/3/1493376962459.jpg
- gl####.w.kunl####.####.com/28/4/1464341461148.jpg
- gl####.w.kunl####.####.com/3/3/1438841119811.jpg
- gl####.w.kunl####.####.com/3/3/1447142231235.jpg
- gl####.w.kunl####.####.com/32/0/1404113597600.jpg
- gl####.w.kunl####.####.com/32/0/1418008953056.jpg
- gl####.w.kunl####.####.com/34/2/1404113259106.jpg
- gl####.w.kunl####.####.com/35/3/1490841105507.jpg
- gl####.w.kunl####.####.com/35/3/1492534807267.jpg
- gl####.w.kunl####.####.com/36/4/1404114408036.jpg
- gl####.w.kunl####.####.com/36/4/1478766324580.jpg
- gl####.w.kunl####.####.com/36/4/1493376841764.jpg
- gl####.w.kunl####.####.com/37/5/1404114756837.jpg
- gl####.w.kunl####.####.com/38/6/1441877346406.jpg
- gl####.w.kunl####.####.com/38/6/1492522828390.jpg
- gl####.w.kunl####.####.com/39/7/1419299642151.jpg
- gl####.w.kunl####.####.com/39/7/1443163432551.jpg
- gl####.w.kunl####.####.com/41/1/1492522470441.jpg
- gl####.w.kunl####.####.com/42/2/1404113474090.jpg
- gl####.w.kunl####.####.com/42/2/1492522519786.jpg
- gl####.w.kunl####.####.com/43/3/1415844338219.jpg
- gl####.w.kunl####.####.com/44/4/1492522983532.jpg
- gl####.w.kunl####.####.com/44/4/1493376914860.jpg
- gl####.w.kunl####.####.com/45/5/1492765784685.jpg
- gl####.w.kunl####.####.com/45/5/1493376975533.jpg
- gl####.w.kunl####.####.com/46/6/1404113138670.jpg
- gl####.w.kunl####.####.com/46/6/1404115172590.jpg
- gl####.w.kunl####.####.com/47/7/1446715722479.jpg
- gl####.w.kunl####.####.com/48/0/1441793802736.jpg
- gl####.w.kunl####.####.com/48/0/1442211575216.jpg
- gl####.w.kunl####.####.com/48/0/1442456402160.jpg
- gl####.w.kunl####.####.com/49/1/1441792300401.jpg
- gl####.w.kunl####.####.com/5/5/1404115511429.jpg
- gl####.w.kunl####.####.com/5/5/1493376857477.jpg
- gl####.w.kunl####.####.com/50/2/1404114270962.jpg
- gl####.w.kunl####.####.com/53/5/1404113732021.jpg
- gl####.w.kunl####.####.com/53/5/1442214601781.jpg
- gl####.w.kunl####.####.com/55/7/1443428879607.jpg
- gl####.w.kunl####.####.com/57/1/1404112909497.jpg
- gl####.w.kunl####.####.com/57/1/1523616271673.jpg
- gl####.w.kunl####.####.com/58/2/1441959947962.jpg
- gl####.w.kunl####.####.com/58/2/1492522201210.jpg
- gl####.w.kunl####.####.com/59/3/1443160091323.jpg
- gl####.w.kunl####.####.com/6/6/1427767548934.jpg
- gl####.w.kunl####.####.com/6/6/1432694554502.jpg
- gl####.w.kunl####.####.com/60/4/1438829246268.jpg
- gl####.w.kunl####.####.com/60/4/1441868324796.jpg
- gl####.w.kunl####.####.com/61/5/1443173232445.jpg
- gl####.w.kunl####.####.com/61/5/1503651163581.jpg
- gl####.w.kunl####.####.com/62/6/1492767020670.jpg
- gl####.w.kunl####.####.com/63/7/1443428799487.jpg
- gl####.w.kunl####.####.com/8/0/1441943147912.jpg
- gl####.w.kunl####.####.com/9/1/1422624662729.jpg
- gl####.w.kunl####.####.com/9/1/1441879794057.jpg
- reso####.msg.xi####.net/gslb/?ver=####&type=####&conpt=d####&uuid=####&l...
- t####.m####.com/tools/GetSearchKeyList.aspx?pagesize=####
- t####.m####.com/tools/getcity.aspx
- www.m####.com/Tools/GetWeather.aspx?mobile=####&city=####&info=YW####&sy...
- www.m####.com/Tools/GetWeather.aspx?try=####&mobile=####&city=####&info=...
- zt-adfi####.oss-cn-####.aliy####.com/1512/rt/gx.bin
Запросы HTTP POST:
- c####.meme####.com/web/index.php?/ums/po####
- c####.meme####.com/web/index.php?/ums/up####
- l####.tbs.qq.com/ajax?c=####&k=####
- r####.uu.qq.com/rqd/sync
- t####.m####.com/tools/GetVersionEx.aspx
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.engine.apk
- /data/data/####/.key.apk
- /data/data/####/71b01f7c894ea4b6b064ee84d3c738a92c59e9efa02d0d8....0.tmp
- /data/data/####/AllRoomList
- /data/data/####/BANNER
- /data/data/####/BELL_GIFT_LIST
- /data/data/####/CHEST_GIFT_LIST
- /data/data/####/CobubRazor_SharedPref.xml
- /data/data/####/GIFT_LIST
- /data/data/####/KEY_WORD
- /data/data/####/MISSION_COUNT
- /data/data/####/MOUNT_MALL
- /data/data/####/PLAZA_DATA
- /data/data/####/PROPERTIES_LIST
- /data/data/####/RECHARGE_AWARD
- /data/data/####/RED_PACKET_LIST
- /data/data/####/SENSITIVE_WORD
- /data/data/####/XMPushServiceConfig.xml
- /data/data/####/bugly_db_-journal
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cobub.cache
- /data/data/####/com.mobilewindow;pushservice
- /data/data/####/com.mobilewindow_preferences.xml
- /data/data/####/commobilewindow
- /data/data/####/config.xml
- /data/data/####/core_info
- /data/data/####/flag
- /data/data/####/gx
- /data/data/####/journal.tmp
- /data/data/####/last_cache_time
- /data/data/####/launcher.db
- /data/data/####/launcher.db-journal
- /data/data/####/launcher.preferences
- /data/data/####/libcrypt.so
- /data/data/####/libloader.so
- /data/data/####/mipush.xml
- /data/data/####/mipush_account.xml
- /data/data/####/mipush_extra.xml
- /data/data/####/show.db-journal
- /data/data/####/tbs_download_config.xml
- /data/data/####/tbs_download_stat.xml
- /data/data/####/tbscoreinstall.txt
- /data/data/####/tbslock.txt
- /data/data/####/temp.jar
- /data/data/####/umeng_general_config.xml
- /data/media/####/.commobilewindow
- /data/media/####/.nomedia
- /data/media/####/003a63ac35a4abb2682006c425301d29.tmp
- /data/media/####/0741a1a2f132f8d2042b230f45fa363f.tmp
- /data/media/####/0917fc2ee5214b7f3e391c2e86c42d4d.tmp
- /data/media/####/0ccb5114363c1aaff0eae438830d8e41.tmp
- /data/media/####/0cf7eb48e5a21c45c4ad8dddd2cebb4b.tmp
- /data/media/####/0e579c1f83862120111ec7d9936be902.tmp
- /data/media/####/122d6ea5d8802acdbf8cde8c6bd0101d.tmp
- /data/media/####/180cd43f832265830158df87b77d7cca.tmp
- /data/media/####/1912b39b47e7d784ff9e6e4401a2fbe6.tmp
- /data/media/####/1aa45273480b11a2a02f94e123c60c2b.tmp
- /data/media/####/1dc7a0c51b797e0dea56e1a0b734cd3e.tmp
- /data/media/####/20b0b26a0dd17c5064d2bf33cf383712.tmp
- /data/media/####/2731d07352df098f25feb14fa55b8f57.tmp
- /data/media/####/2b7c96187ad20b2518f5ea2343e94225.tmp
- /data/media/####/308a0c0486e05b5d8a973d7cacc588e7.tmp
- /data/media/####/31f041e722aa7393593fe5aff1c469be.tmp
- /data/media/####/31f216820afafd54affc4c6c609f0a4f.tmp
- /data/media/####/33d519f1215a99a875903b1fd59c4813.tmp
- /data/media/####/42e88ab413fe05003ab095510a197dc6.tmp
- /data/media/####/44b4a13839bc2f8462c3a0f57557495f.tmp
- /data/media/####/499f9e322cfaf69bdcc7f0f06d9517c6.tmp
- /data/media/####/49d97af79a54049db74bcd7a6101a0c7.tmp
- /data/media/####/4a8cec119afe6bc1d6c0170ce4ba15a8.tmp
- /data/media/####/4bf6fec57ef1dcf7631b9b47b4470ceb.tmp
- /data/media/####/4c56e1dad7e1f82ca93de1aaf3e66881.tmp
- /data/media/####/4z4r14v6slgi8q06wv2wcz9ff
- /data/media/####/4z4r14v6slgi8q06wv2wcz9ff.tmp
- /data/media/####/523f27da5d9cc24dfac6d4d566ec2721.tmp
- /data/media/####/53d94704583f9063c57fceed7e21677a.tmp
- /data/media/####/5643d254841aea1ff23d34afcd2081bc.tmp
- /data/media/####/57752d96499214af9aff577bcba618f2.tmp
- /data/media/####/5f8f25df732bc987633840d815b82069.tmp
- /data/media/####/5qxjq8oqxux2ygdhl740fhq9
- /data/media/####/5qxjq8oqxux2ygdhl740fhq9.tmp
- /data/media/####/644a4900d34be0eae092875fdfdb7097.tmp
- /data/media/####/64da3ffe8e397c4480b1a1db7a5f86b1.tmp
- /data/media/####/68cd67bc014b1a54833bfe65d5545cbc.tmp
- /data/media/####/69a34127a2680fd2a62b3a756ead0d45.tmp
- /data/media/####/6a019540417a59b840209d1230184833.tmp
- /data/media/####/6d8c1054bc7563b7f4c0581e522803d9.tmp
- /data/media/####/6de519f204d879d284de5d86a477802a.tmp
- /data/media/####/6e2535ea7770752a1ece767978de1eee.tmp
- /data/media/####/6f02253d4e9aede230c5de096c2eb5ac.tmp
- /data/media/####/72662756908852a94eb40822a8630247.tmp
- /data/media/####/75ee156057572a33ab32fe53d414bb37.tmp
- /data/media/####/7670a6b9fe7c6b592de28d37daacadb5.tmp
- /data/media/####/767b68cae876d4fcbd7cd7487cf89c35.tmp
- /data/media/####/76f26cb8989172f717d90442d1bba4c5.tmp
- /data/media/####/7ee0bd8f0911d5964fc742be3c06d03c.tmp
- /data/media/####/7f88bf23ed2553374459b7e85b6b77d2.tmp
- /data/media/####/85978a1c842df644fe48ad56c5000226.tmp
- /data/media/####/860b9a3c411f5d53aee22e2fa20b80d1.tmp
- /data/media/####/8bc566d199a31aec9316c275a3468ca9.tmp
- /data/media/####/8e68c566023d4a89d10da48519751319.tmp
- /data/media/####/90be580bc57afaa38d8abb0767ce6c8c.tmp
- /data/media/####/941cf35e705c472c2a1666ca2c4c864d.tmp
- /data/media/####/97dd6d8c02250ce39684e659d1af4931.tmp
- /data/media/####/9927b8ae927f79e8b2a0d006970065bc.tmp
- /data/media/####/99675d541f64ff97d2451074ba7e1e3c.tmp
- /data/media/####/a7972dc6e71f31b8b2b2d3763f88444d.tmp
- /data/media/####/a7d722cc15e9a3cecdb9bca6ff732cc4.tmp
- /data/media/####/aac282cd3496859f11d65ccead50541b.tmp
- /data/media/####/ac95960639dbe65e89f6121d79179673.tmp
- /data/media/####/adeaebab2c8faf6e568bb2face23474d.tmp
- /data/media/####/aeacda196cc9caad6b64506faefd627b.tmp
- /data/media/####/af08cde4e56cbc664559539cb70b5204.tmp
- /data/media/####/b0ab363e0851235a63059ed447633fa2.tmp
- /data/media/####/b26ebc9544eeeec66da58301450179c8.tmp
- /data/media/####/b7a96615940050395f3ea2bad4458514.tmp
- /data/media/####/c1c5b67911ebe81179e65bffee0f2f7d.tmp
- /data/media/####/c59729abfd0fa91306d3fb689aa823b8.tmp
- /data/media/####/c5d9bc25f1f261420a5213488061da3c.tmp
- /data/media/####/d74a304329bef98ecdc396c96ebbaa40.tmp
- /data/media/####/da454718512f1a952ffe0083d8a46783.tmp
- /data/media/####/e01ad51822f62b0a33343d9ac2fdc5de.tmp
- /data/media/####/e2b5d1c4d5983b34890091612775cf7a.tmp
- /data/media/####/e99dadf4f1540239db837d97bd768b2f.tmp
- /data/media/####/ee27e2c1c682ed0601bc63795ea64698.tmp
- /data/media/####/f19231c964ca8f5cb43a5b9b9890df92.tmp
- /data/media/####/f4417f577ebe2a57529b8c801d63706e.tmp
- /data/media/####/f5ccef606272ac63f035034abd6ebad1.tmp
- /data/media/####/f9e292f0095241478995853c022816d0.tmp
- /data/media/####/fef7ff4326226c999631a42ddc29444d.tmp
- /data/media/####/sys_nicholas.txt
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.board.platform
- chmod 777 <Package Folder>/files/gxTmp
- chmod 777 <Package Folder>/files/gxTmp/gx
- getprop ro.board.platform
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- Bugly
- freerdp-android
- libloader
- msc
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
- RSA-ECB-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
- DES
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Осуществляет доступ к информации о телефонных контактах.
