Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.627.origin
- Android.Backdoor.682.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) yiyil####.cn:80
- TCP(HTTP/1.1) fasl####.ou####.com:80
- TCP(HTTP/1.1) cdn.abcdse####.com:8080
- TCP(HTTP/1.1) t####.abcdse####.com:8899
- TCP(TLS/1.0) 1####.217.17.142:443
- TCP(TLS/1.0) mbd.n.sh####.com:443
- TCP(TLS/1.0) t####.abcdse####.com:443
- TCP(TLS/1.0) hm.b####.com:443
- TCP(TLS/1.0) ssls####.jom####.com:443
- TCP(TLS/1.0) www.a.sh####.com:443
- TCP(TLS/1.0) wap.n.sh####.com:443
- TCP(TLS/1.0) na0.bdst####.com.####.com:443
- TCP(TLS/1.0) box.jom####.com:443
- TCP(TLS/1.0) hpd.b####.com:443
- TCP(TLS/1.0) sslb####.jom####.com:443
Запросы DNS:
- cdn.abcdse####.com
- ext.b####.com
- f####.b####.com
- fasl####.ou####.com
- g####.bdst####.com
- hm.b####.com
- hpd.b####.com
- m.b####.com
- na0.bdst####.com
- pxy.ou####.com
- s.bdst####.com
- ss0.b####.com
- ss1.b####.com
- ss2.b####.com
- sv.bdst####.com
- t####.abcdse####.com
- t####.abcdse####.com
- tlg.abcdse####.com
- www.b####.com
- yiyil####.cn
Запросы HTTP GET:
- cdn.abcdse####.com:8080/group1/M00/00/03/ChtYq1saGaCAVMDoAANLVzebsbo.plu...
- cdn.abcdse####.com:8080/group1/M01/00/04/ChtYq1tNpRWAOsSaAAJcN1TQQF4.plu...
- cdn.abcdse####.com:8080/group1/M01/00/04/ChtYq1uOZUaAXiqkAAKTVW9Eo3Y.plu...
- fasl####.ou####.com/abcds343234sdf8ewr/adjfou23r32u44324/0902awoijvdnwwy...
- yiyil####.cn/
- yiyil####.cn/129.jpg
- yiyil####.cn/281.jpg
- yiyil####.cn/420.jpg
- yiyil####.cn/583.jpg
- yiyil####.cn/661.jpg
- yiyil####.cn/701.jpg
- yiyil####.cn/767.jpg
- yiyil####.cn/897.jpg
- yiyil####.cn/94.jpg
- yiyil####.cn/941.jpg
- yiyil####.cn/ding.png
- yiyil####.cn/go_top.png
- yiyil####.cn/m_index.css
- yiyil####.cn/news.png
- yiyil####.cn/pub.css
- yiyil####.cn/uctt.jpg
- yiyil####.cn/v1.png
- yiyil####.cn/v2.png
- yiyil####.cn/v3.png
- yiyil####.cn/v4.png
- yiyil####.cn/v5.png
- yiyil####.cn/v6.png
- yiyil####.cn/v7.png
- yiyil####.cn/v8.png
- yiyil####.cn/video_tb.png
Запросы HTTP HEAD:
- fasl####.ou####.com/abcds343234sdf8ewr/adjfou23r32u44324/0902awoijvdnwwy...
Запросы HTTP POST:
- t####.abcdse####.com:8899/log/biz
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/009304d3fd25f2fbf7ab1bc955f7648b.jar
- /data/data/####/0de46a7cf74d678f8a25bc4e7ec53c1c.jar
- /data/data/####/2078793401
- /data/data/####/258a836cfeafeaa2bdd8e2545cd85b7d2274.temp
- /data/data/####/50782885.jar
- /data/data/####/50782917.jar
- /data/data/####/50782950.jar
- /data/data/####/50783037.jar
- /data/data/####/8322f9c3db810f992daf8b840219b36d.jar
- /data/data/####/9f334c08fc4ea47c0a278958ff93512b2274.temp
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/a798e9bf911f3061ff5d25abf99ddf0c2274.temp
- /data/data/####/contacts.db
- /data/data/####/contacts.db-journal
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/f_00000b
- /data/data/####/f_00000c
- /data/data/####/f_00000d
- /data/data/####/f_00000e
- /data/data/####/f_00000f
- /data/data/####/f_000010
- /data/data/####/f_000011
- /data/data/####/f_000012
- /data/data/####/index
- /data/data/####/web2274.temp
- /data/data/####/web2307.temp
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/1c4212fc625cb74eacc184f2c248924e
- /data/media/####/24b338acb48cf65c12f7d8b3935d291e_2.24
- /data/media/####/397f0f93190168b647cbc6d304c02993_44.39
- /data/media/####/4078cad790aceada1e87da607b1bde97_40.40
- /data/media/####/4078cad790aceada1e87da607b1bde97_54.40
- /data/media/####/4acd3f3c1da2ddf4f0513901737d6d03.cache
- /data/media/####/694d2d6b1f39a1761bf64b4c09c0cf2e.xml
- /data/media/####/694d2d6b1f39a1761bf64b4c09c0cf2e.xml.bak (deleted)
- /data/media/####/7fc7330d604c9fe3daa0821e332f66b8.chche
- /data/media/####/ab1c103afedf622cdc95848b6c372795.xml
- /data/media/####/cfg.xml
- /data/media/####/d1893743
- /data/media/####/f860c3192b536ec77f0e0c8fb47ab4ea.xml
- /data/media/####/fa6267fe
- /data/media/####/global.xml
- /data/media/####/ipagent.apk
- /data/media/####/selfrun.apk
- /data/media/####/web.apk
- /data/media/####/webadlist_1.cache
- /data/media/####/webadlist_1.xml
- /data/media/####/webadlist_1_last.cache
- /data/media/####/webinfo.xml
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /proc/cpuinfo
Использует следующие алгоритмы для шифрования данных:
- DES-ECB-NoPadding
- Des-ECB-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- DES-ECB-NoPadding
- Des-ECB-NoPadding
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
