Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.308.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) dsa####.quanli####.com:8084
- TCP(HTTP/1.1) ja####.huita####.com:10091
- TCP(HTTP/1.1) we####.06####.cn:80
- TCP(HTTP/1.1) pay.xg####.com:80
- TCP(HTTP/1.1) www.mas####.com:7006
- TCP(HTTP/1.1) 1####.175.181.49:9000
- TCP(HTTP/1.1) res.baishun####.com.####.com:84
- TCP(HTTP/1.1) 1####.112.38.136:8000
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(TLS/1.0) qr.al####.com:443
- TCP(TLS/1.0) zos.alipayo####.com:443
- TCP(TLS/1.0) re####.al####.com:443
- TCP(TLS/1.0) hk.acc.al####.####.net:443
- TCP(TLS/1.0) 1####.217.20.110:443
- TCP(TLS/1.0) gw.alipayo####.com:443
- TCP(TLS/1.0) log.mm####.com:443
Запросы DNS:
- a.alipayo####.com
- dsa####.quanli####.com
- gw.alipayo####.com
- ja####.huita####.com
- k####.al####.com
- log.mm####.com
- mobilec####.al####.com
- pay.xg####.com
- qr.al####.com
- re####.al####.com
- res.baishun####.com
- we####.06####.cn
- www.mas####.com
- www.wsfpei####.com
- zos.alipayo####.com
Запросы HTTP GET:
- dsa####.quanli####.com:8084/tupian/banner_marsk.png
- dsa####.quanli####.com:8084/tupian/banner_point.png
- dsa####.quanli####.com:8084/tupian/banner_point_select.png
- dsa####.quanli####.com:8084/tupian/ic_line.png
- dsa####.quanli####.com:8084/tupian/ic_tips_choise_pay.png
- dsa####.quanli####.com:8084/tupian/iv_1a.png
- dsa####.quanli####.com:8084/tupian/iv_1b.png
- dsa####.quanli####.com:8084/tupian/iv_2a.png
- dsa####.quanli####.com:8084/tupian/iv_2b.png
- dsa####.quanli####.com:8084/tupian/iv_3a.png
- dsa####.quanli####.com:8084/tupian/iv_3b.png
- dsa####.quanli####.com:8084/tupian/iv_4a.png
- dsa####.quanli####.com:8084/tupian/iv_4b.png
- dsa####.quanli####.com:8084/tupian/iv_5a.png
- dsa####.quanli####.com:8084/tupian/iv_5b.png
- dsa####.quanli####.com:8084/tupian/iv_hd.png
- dsa####.quanli####.com:8084/tupian/iv_play.png
- dsa####.quanli####.com:8084/tupian/iv_shu.png
- dsa####.quanli####.com:8084/tupian/pay_close_n.png
- pay.xg####.com/Payapi_Index_Pay.html?P_Description=####&P_Notic=####&P_N...
- res.baishun####.com.####.com:84/newpay/0.jpg
- res.baishun####.com.####.com:84/nfl/1.jpg
- res.baishun####.com.####.com:84/nfl/2.jpg
- res.baishun####.com.####.com:84/nfl/3.jpg
- res.baishun####.com.####.com:84/nfl/4.jpg
- res.baishun####.com.####.com:84/nfl/5.jpg
- res.baishun####.com.####.com:84/nfl/6.jpg
- res.baishun####.com.####.com:84/nfl/7.jpg
- res.baishun####.com.####.com:84/nfl/8.jpg
- res.baishun####.com.####.com:84/ny/1.jpg
- res.baishun####.com.####.com:84/ny/2.jpg
- res.baishun####.com.####.com:84/ny/3.jpg
- res.baishun####.com.####.com:84/ny/4.jpg
- res.baishun####.com.####.com:84/ny/5.jpg
- res.baishun####.com.####.com:84/ny/6.jpg
- res.baishun####.com.####.com:84/ny/7.jpg
- res.baishun####.com.####.com:84/ny/8.jpg
- res.baishun####.com.####.com:84/ys91/10t1.jpg
- res.baishun####.com.####.com:84/ys91/1t1.jpg
- res.baishun####.com.####.com:84/ys91/2t1.jpg
- res.baishun####.com.####.com:84/ys91/4t1.jpg
- res.baishun####.com.####.com:84/ys91/5t1.jpg
- res.baishun####.com.####.com:84/ys91/6t1.jpg
- res.baishun####.com.####.com:84/ys91/7t1.jpg
- res.baishun####.com.####.com:84/ys91/8t1.jpg
- res.baishun####.com.####.com:84/ys91/9t1.jpg
- res.baishun####.com.####.com:84/ysxin/vip5/1.jpg
- ti####.c####.l####.####.com/hui_cdn_config.json
- we####.06####.cn/platform/pay/unifiedorder?sign=####&body=####&mch_id=##...
Запросы HTTP POST:
- ja####.huita####.com:10091/wisdom/marking
- www.mas####.com:7006/ad_server/get_seed
- www.mas####.com:7006/ad_server/upload_device
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/046f8570d4c1dd8f6eafb262902b26c581955ff4e7859e9....0.tmp
- /data/data/####/21cd0c6dc673ddb740d4457950aaff4b061e23f383179d3....0.tmp
- /data/data/####/23b1f5f98e97b92b456afbc5af4fc3ea9c4aad91054f712....0.tmp
- /data/data/####/324ac0f75cc139247be349d0227c818c2e3daf44caa373e....0.tmp
- /data/data/####/33b8ae6c7709aa89151b11e96a6c62e778e82a90dc8f576....0.tmp
- /data/data/####/3875479dcb30affd27f865e10420fba24121174fc96a8b6....0.tmp
- /data/data/####/3a43aa98f29ac5eb09b347a2eb59b365a8655541d777d1f....0.tmp
- /data/data/####/3b0498372df688b8b5137461dd1b5b6739a9d748d9b0fb3....0.tmp
- /data/data/####/3c7c55d8c110c5ee6e53d26b6b8e7e746027101191cb4fe....0.tmp
- /data/data/####/3df313d529643b982b6e6ddca845432ce3c3af510c0c376....0.tmp
- /data/data/####/4ce2e511def8067841820be01b66102a0b38dad26d8836a....0.tmp
- /data/data/####/51ebf79ba071232c88ad77e0aefacdc8e55ad0379e93e9a....0.tmp
- /data/data/####/5cf7575df278a60a1a7950c8d513c02938f0b42666e0c05....0.tmp
- /data/data/####/61d067ebb7009074e3672ff9068456e779d8fa01cd72577....0.tmp
- /data/data/####/632590487713c17ce04c5de4c8dd35afb9988adf01a1d9e....0.tmp
- /data/data/####/63dd098aa6fd6f5adf4dbab9575afb1641a8d7102c2745e....0.tmp
- /data/data/####/789f0d6aa4a517f35b90c811cef0af61978ac4b06499b2e....0.tmp
- /data/data/####/7d89562a59278ae91e04a1dbfc93cd5a37add9891eb8130....0.tmp
- /data/data/####/8653ae6f299c3607a92fe3e5c945a141f4ef9b0e4c42407....0.tmp
- /data/data/####/8b6a71e933544649741d645e95e80d238e32297805e3a05....0.tmp
- /data/data/####/9ed539b3bcaea4a199ae7bee02a4dc627729fc84d88cf93....0.tmp
- /data/data/####/a098b1d256cfe5d1e1c243121d3053dcc65142abd72adf9....0.tmp
- /data/data/####/a5c2a4704f90cd06dcb42f30296b30c95db945b3e963185....0.tmp
- /data/data/####/b0e93ae25063a3f43f49d8007c62d0521dbd3adcaf8bf10....0.tmp
- /data/data/####/b409e871feba3fe00fd1a352d3a6713932736795c13631e....0.tmp
- /data/data/####/b46e2776fccfebf8248769918cd22259cd6013a7c990dba....0.tmp
- /data/data/####/bb695e280e97c15b1516d73f89e5fb0d5e6f9333083f02b....0.tmp
- /data/data/####/bbe5dbce9c0116a9ccdcbf0ea41117e005d41bbcd4ed372....0.tmp
- /data/data/####/bd79f8d83406a8b788768e24711d4dfcbd1d30dd72705b0....0.tmp
- /data/data/####/c1bcfac7f0b250119257952439167c7efee265baf5c0b2f....0.tmp
- /data/data/####/c39c0108bc6dc42c88117998f8312afc60eb370b69a2e03....0.tmp
- /data/data/####/c9ae42436b413d12b1208478d219620b8fda625e3c2d826....0.tmp
- /data/data/####/com.example.spsp919_preferences.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/dd081ae5f90db10c69fe608f89779d5f2f16b3184aff427....0.tmp
- /data/data/####/e73b4d39c076eba81539d94c14ecc78391ed1c2f2c20940....0.tmp
- /data/data/####/f3eabcb4811b2c4619bc513ef561b42f8fd7762950f14b1....0.tmp
- /data/data/####/f_000001
- /data/data/####/gameid
- /data/data/####/gameid.zip
- /data/data/####/index
- /data/data/####/journal.tmp
- /data/data/####/libcsmk.so
- /data/data/####/libcsmk.so-32
- /data/data/####/libcsmk.so-64
- /data/data/####/nane.png
- /data/data/####/puqqswhg.jar
- /data/data/####/spdsj.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromium.db-journal (deleted)
- /data/data/####/yd_config_c.xml
- /data/media/####/.file_uxpak
Другие:
Запускает следующие shell-скрипты:
- cat /proc/version
- cat /sys/class/net/wlan0/address
- getprop
- getprop ro.board.platform
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- libcsmk
Использует следующие алгоритмы для шифрования данных:
- AES
- DES
Использует следующие алгоритмы для расшифровки данных:
- AES
- DES
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
