Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.363.origin
- Android.RemoteCode.41.origin
- Android.Xiny.20
Загружает из Интернета следующие детектируемые угрозы:
- Android.Xiny.20
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 1####.75.90.129:80
- TCP(HTTP/1.1) v####.6####.com:80
- TCP(HTTP/1.1) m.cnt####.com:80
- TCP(HTTP/1.1) m.h####.com:80
- TCP(HTTP/1.1) z####.heyc####.net:80
- TCP(HTTP/1.1) www.ye####.org:80
- TCP(HTTP/1.1) z.no####.net:80
- TCP(HTTP/1.1) do.soi####.com:80
- TCP(HTTP/1.1) ip.ch####.com:80
- TCP(HTTP/1.1) sdk.91a####.com:80
- TCP(HTTP/1.1) b####.www.ye####.org:80
- TCP(HTTP/1.1) m1.laogeda####.com:80
- TCP(HTTP/1.1) cd.kw####.com:80
- UDP(NTP) 2.and####.p####.####.org:123
- TCP(TLS/1.0) hotfix####.oss-cn-####.aliy####.com:443
- TCP(TLS/1.0) 1####.217.17.46:443
- TCP(TLS/1.0) z.c####.com:443
- TCP(TLS/1.0) 2####.58.212.238:443
- TCP(TLS/1.0) c.c####.com:443
- TCP(TLS/1.0) aliyuns####.oss-cn-####.aliy####.com:443
- TCP(TLS/1.0) aliyuno####.oss-cn-####.aliy####.com:443
Запросы DNS:
- 2.and####.p####.####.org
- aliyuno####.oss-cn-####.aliy####.com
- aliyuns####.oss-cn-####.aliy####.com
- aliyuns####.oss-cn-####.aliy####.com
- b####.www.ye####.org
- c.c####.com
- cd.kw####.com
- do.soi####.com
- hotfix####.oss-cn-####.aliy####.com
- ip.ch####.com
- m.cnt####.com
- m.h####.com
- m1.laogeda####.com
- s22.c####.com
- sdk.91a####.com
- v####.6####.com
- w####.5####.com
- www.ye####.org
- z####.heyc####.net
- z.no####.net
- z1.c####.com
Запросы HTTP GET:
- do.soi####.com/201809/wli.jar
- ip.ch####.com/getip.aspx
- m.cnt####.com/chaoliufaxing/19/684.html
- m.cnt####.com/iDdo4VRE1HKF.php?o=####&i=####&s=####&ad=####
- m.h####.com/gjKOrLoAhg02.php?o=####&i=####&s=####&ad=####
- m.h####.com/yulebagua/14/928.html
- m1.laogeda####.com/ads/admaster24.php?o=####
- m1.laogeda####.com/ads/admaster240.php?o=####
- m1.laogeda####.com/templets/tui/js/jquery-1.8.3.min.js
- sdk.91a####.com/static/20180829152952mod.enc
Запросы HTTP POST:
- b####.www.ye####.org/i?requestId=####&g=####
- cd.kw####.com/c
- sdk.91a####.com/api/DeviceReport.ashx
- v####.6####.com/api/CheckModule.ashx
- v####.6####.com/api/GetModuleConfig.ashx
- www.ye####.org/i?requestId=####&g=####
- z####.heyc####.net/getlist
- z####.heyc####.net/xlogin
- z.no####.net/m/a/t
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/Nl4cJT4st.jar
- /data/data/####/W_Key.xml
- /data/data/####/ZCrV100pb.jar
- /data/data/####/base.js
- /data/data/####/common.js
- /data/data/####/countClickIP.xml
- /data/data/####/cpro.baidu.com.js
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/downloadswc
- /data/data/####/downloadswc-journal
- /data/data/####/dpi
- /data/data/####/f_000001
- /data/data/####/hid.db
- /data/data/####/index
- /data/data/####/m.baidu.com.js
- /data/data/####/m.chinebuy.com.js
- /data/data/####/max_pref.xml
- /data/data/####/mfjlxbOU.jar
- /data/data/####/miOY3Du.jar
- /data/data/####/mod.dec
- /data/data/####/mod.dex
- /data/data/####/mod.enc
- /data/data/####/mz6cmf6kj.jar
- /data/data/####/org.SoGoyyb.PoPchengyu_preferences.xml
- /data/data/####/org_SoGoyyb_PoPchengyu.txt
- /data/data/####/phan.xml
- /data/data/####/st.xml
- /data/data/####/start.js
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.nid
- /data/media/####/5.1wli.jar.u
- /data/media/####/id.tmp
- /data/media/####/org_SoGoyyb_PoPchengyu.txt
- /data/media/####/restime.dat
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh
- cat /sys/class/android_usb/android0/idProduct
- cat /sys/class/android_usb/android0/idVendor
- getprop
- ls -l /dev
- ls -l /dev/block
- ls -l /dev/block/vold
- ls -l /dev/com.android.settings.daemon
- ls -l /dev/cpuctl
- ls -l /dev/cpuctl/apps
- ls -l /dev/cpuctl/apps/bg_non_interactive
- ls -l /dev/graphics
- ls -l /dev/input
- ls -l /dev/log
- ls -l /dev/pts
- ls -l /dev/snd
- ls -l /dev/socket
- ps
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- DES
- DES-CBC-PKCS5Padding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
