Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.RemoteCode.184.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) url.gmsce####.org:10000
- TCP(HTTP/1.1) go####.com:80
- TCP(HTTP/1.1) www.gst####.com:80
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
- TCP(HTTP/1.1) adv.google-####.com:80
- TCP(HTTP/1.1) net.salmo####.com:80
- TCP(HTTP/1.1) www.go####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) api.niu####.com:80
- TCP(HTTP/1.1) t####.apex####.com:80
- TCP(HTTP/1.1) sty.zk####.com:80
- TCP(HTTP/1.1) upg####.sjqhis####.com:8012
- TCP(HTTP/1.1) s####.o####.com:80
- TCP(HTTP/1.1) api.salmo####.com:80
- TCP(HTTP/1.1) c####.xyz:80
- TCP(TLS/1.0) a####.mcr####.com:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) api.niu####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) adser####.go####.com:443
Запросы DNS:
- a####.mcr####.com
- adser####.go####.com
- adv.google-####.com
- aexcep####.b####.qq.com
- and####.b####.qq.com
- api.niu####.com
- api.salmo####.com
- c####.xyz
- go####.com
- net.salmo####.com
- s####.o####.com
- ssl.gst####.com
- sty.zk####.com
- t####.apex####.com
- upg####.sjqhis####.com
- url.gmsce####.org
- www.go####.com
- www.go####.nl
- www.gst####.com
Запросы HTTP GET:
- api.niu####.com/api/s2s/goto?id=####&channel=####&provider=####&appkey=#...
- api.salmo####.com/api/strategy.php?p=eyJ0c####
- c####.xyz/rest/ck/o/1/444214?click_id=####&sub_id=####&sc=####&s1=####&s...
- go####.com/
- net.salmo####.com/requestv2?p=eyJzb####
- net.salmo####.com/setting?app_id=####&sign=####
- s####.o####.com/rtb/smartlink/iDbQKR7SYafOaiiGXYmVO9EFgLYFfuuY?tfc_id=##...
- t####.apex####.com/go.php?p=####&sub1=####&sub2=####
- t####.apex####.com/go.php?p=####&sub1=####&sub2=####&sub5=####
- www.go####.com/
- www.go####.com/gen_204?atyp=####&ct=####&cad=####&ogsr=####&id=####&ic=#...
- www.go####.com/gen_204?atyp=####&ct=####&cad=####&tt=####&ei=####&zx=####
- www.go####.com/gen_204?atyp=####&ei=####&s=####&t=####&imc=####&imn=####...
- www.go####.com/gen_204?s=####&t=####&atyp=####&ei=####&rt=####
- www.go####.com/images/branding/googlelogo/2x/googlelogo_color_160x56dp.png
- www.go####.com/images/hpp/Chrome_Owned_96x96.png
- www.go####.com/images/nav_logo242.png
- www.go####.com/xjs/_/js/k=xjs.qs.nl.YMP_W-dPNqA.O/am=BIRFsjMFCAIIuFFCAYj...
- www.go####.com/xjs/_/js/k=xjs.qs.nl.YMP_W-dPNqA.O/m=sx,ByqdBd,CiVnBc,Fkg...
- www.gst####.com/gb/images/qi1_36e7b564.png
Запросы HTTP POST:
- adv.google-####.com/mob/chk
- aexcep####.b####.qq.com:8012/rqd/async
- and####.b####.qq.com/rqd/async
- sty.zk####.com/cc/v1/api?sid=####
- upg####.sjqhis####.com:8012/ClkMgr/crep/rep
- url.gmsce####.org:10000/adv_url_v1/mediation
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/AD20180921.xml
- /data/data/####/AR20180921.xml
- /data/data/####/ASt20180921.xml
- /data/data/####/AU20180921.xml
- /data/data/####/AdRecordTime20180921.xml
- /data/data/####/NM.xml
- /data/data/####/bfn.so
- /data/data/####/bugly_db_legu-journal
- /data/data/####/burst_config.xml
- /data/data/####/com.salmon.xml
- /data/data/####/com.salmon.xml (deleted)
- /data/data/####/config.service.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/index
- /data/data/####/libnfix.so
- /data/data/####/libshella-2.9.0.2.so
- /data/data/####/libufix.so
- /data/data/####/local_crash_lock
- /data/data/####/main.data
- /data/data/####/mix.dex
- /data/data/####/mocean.database.ad-journal
- /data/data/####/native_record_lock
- /data/data/####/salmon.sdk.db-journal
- /data/data/####/sdk_scl_pid_config.xml
- /data/data/####/security_info
- /data/data/####/sharepreference_common_record.xml
- /data/data/####/sharepreference_url_param.xml
- /data/data/####/sr_agent_log
- /data/data/####/v_rua7d4nph5rii43h7k5w
- /data/data/####/wap.db
- /data/data/####/wap.db-journal
- /data/data/####/wap_data.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.xamdecoq0962
- /data/media/####/95.001.20180921.01
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-2.9.0.2.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
Загружает динамические библиотеки:
- Bugly
- bfn
- libnfix
- libshella-2.9.0.2
- libufix
- nfix
- ufix
Использует следующие алгоритмы для шифрования данных:
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-GCM-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
