Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.414.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) www.go####.com:80
- TCP(SSL/3.0) mix.link####.com:443
- TCP(SSL/3.0) api####.inte####.io:443
- TCP(SSL/3.0) sc####.ho####.com.####.io:443
- TCP(TLS/1.0) sc####.ho####.com.####.io:443
- TCP(TLS/1.0) www.googlea####.com:443
- TCP(TLS/1.0) st####.ho####.com:443
- TCP(TLS/1.0) js.usemess####.com:443
- TCP(TLS/1.0) con####.face####.net:443
- TCP(TLS/1.0) js.h####.net:443
- TCP(TLS/1.0) ads.twi####.com:443
- TCP(TLS/1.0) googl####.g.doublec####.net:443
- TCP(TLS/1.0) app.hub####.com:443
- TCP(TLS/1.0) tpc.googles####.com:443
- TCP(TLS/1.0) api.seg####.io:443
- TCP(TLS/1.0) js.hs-scr####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) mix.link####.com:443
- TCP(TLS/1.0) js.interco####.com:443
- TCP(TLS/1.0) l####.optimi####.com:443
- TCP(TLS/1.0) js.hs-anal####.net:443
- TCP(TLS/1.0) no-c####.hub####.com:443
- TCP(TLS/1.0) app.invoice####.com:443
- TCP(TLS/1.0) s####.g.doublec####.net:443
- TCP(TLS/1.0) cdn.optimi####.com:443
- TCP(TLS/1.0) api####.inte####.io:443
- TCP(TLS/1.0) bf1338####.bf.dynat####.com:443
- TCP(TLS/1.0) se####.io:443
- TCP(TLS/1.0) heapana####.com:443
- TCP(TLS/1.0) www.face####.com:443
- TCP(TLS/1.0) regi####.xm####.xi####.com:443
- TCP(TLS/1.0) cdn.heapana####.com:443
- TCP(TLS/1.0) wi####.inte####.io:443
- TCP(TLS/1.0) pag####.googles####.com:443
- TCP(TLS/1.0) www.google-####.com:443
- TCP(TLS/1.0) c####.hub####.net:443
- TCP(TLS/1.0) cdn.seg####.com:443
- TCP(TLS/1.0) lo####.wise####.com:443
- TCP(TLS/1.0) h####.myf####.net:443
- TCP(TLS/1.0) wild####.l####.com.####.net:443
- TCP(TLS/1.0) www.googlet####.com:443
- TCP(TLS/1.0) cdn.m####.com:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) 333####.gro####.s####.####.net:443
- TCP(TLS/1.0) s####.exacton####.nl.####.net:443
- TCP(TLS/1.0) v####.ho####.com:443
- TCP(TLS/1.0) api.mixp####.com:443
- TCP t1.jz####.com:7101
- TCP t1.jz####.com:7102
- TCP t1.jz####.com:7103
Запросы DNS:
- analy####.twi####.com
- api####.inte####.io
- api.hub####.com
- api.mixp####.com
- api.seg####.io
- app.hub####.com
- app.invoice####.com
- bf1338####.bf.dynat####.com
- c####.hub####.net
- cdn.heapana####.com
- cdn.m####.com
- cdn.optimi####.com
- cdn.seg####.com
- con####.face####.net
- cta-ser####.hub####.com
- googl####.g.doublec####.net
- h####.myf####.net
- heapana####.com
- js.h####.net
- js.hs-anal####.net
- js.hs-scr####.com
- js.interco####.com
- js.usemess####.com
- l####.optimi####.com
- lo####.wise####.com
- no-c####.hub####.com
- pag####.googles####.com
- px.ads.link####.com
- regi####.xm####.xi####.com
- s####.exacton####.nl
- s####.g.doublec####.net
- s####.l####.com
- sc####.ho####.com
- se####.io
- st####.ho####.com
- t####.hub####.com
- t1.jz####.com
- t2.jz####.com
- t3.jz####.com
- tpc.googles####.com
- v####.ho####.com
- wi####.inte####.io
- www.face####.com
- www.go####.com
- www.go####.nl
- www.google-####.com
- www.googlea####.com
- www.googlet####.com
- www.invoice####.com
Запросы HTTP GET:
- www.go####.com/complete/search?hl=####&client=####&q=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/00356507059351895.db-journal
- /data/data/####/1536893297489s.jar
- /data/data/####/AM.db
- /data/data/####/AM.db-journal
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/admob.xml
- /data/data/####/ads1985434837.jar
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/fappInfo_f_356507059351895.xml
- /data/data/####/fconf_f_356507059351895.xml
- /data/data/####/ftrategy_f_356507059351895.xml
- /data/data/####/gaClientId
- /data/data/####/google_analytics_v4.db-journal
- /data/data/####/https_googleads.g.doubleclick.net_0.localstorage-journal
- /data/data/####/i.xml
- /data/data/####/index
- /data/data/####/mipush.xml
- /data/data/####/mipush_extra.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.nomedia
- /data/media/####/journal
- /data/media/####/journal.tmp
- /data/media/####/log.lock
- /data/media/####/log1.txt
Другие:
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- DES
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
