Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Dowgin.14.origin
- Adware.Dowgin.3.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) univers####.azurewe####.net:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) hi.bi.h####.cn:80
- TCP(HTTP/1.1) di####.pubna####.net:80
- TCP(HTTP/1.1) got.pubna####.net:80
- TCP(HTTP/1.1) sdk.appb####.com:80
- TCP(TLS/1.0) con####.face####.net:443
- TCP(TLS/1.0) univers####.azurewe####.net:443
- TCP(TLS/1.0) t####.56####.com:443
- TCP(TLS/1.0) sdk.appb####.com:443
- TCP(TLS/1.0) lh3.googleu####.com:443
- TCP(TLS/1.0) clk.tap####.com:443
- TCP(TLS/1.0) t.mob####.com:443
- TCP(TLS/1.0) www.face####.com:443
- TCP(TLS/1.0) f####.t####.io:443
Запросы DNS:
- a####.u####.com
- appli####.apptor####.com
- clk.tap####.com
- con####.face####.net
- di####.pubna####.net
- f####.t####.io
- go.myapp####.com
- got.pubna####.net
- hi.bi.h####.cn
- lh3.googleu####.com
- sdk.appb####.com
- t####.56####.com
- t.mob####.com
- unive####.myapp####.it
- www.face####.com
Запросы HTTP GET:
- di####.pubna####.net/html5/apps/790ff259ea0949e694212e4019d8c85a/direct_...
- got.pubna####.net/bulk?aid=####&aaid=####&pid=####&nid=####&puid=####&af...
- got.pubna####.net/click/native?aid=####&t=####&sub_id=####
- hi.bi.h####.cn/sd/ggsc?appid=####
- univers####.azurewe####.net/Pages/track/trackerparent.aspx?click=554c87e...
Запросы HTTP POST:
- a####.u####.com/app_logs
- hi.bi.h####.cn/056fl
- hi.bi.h####.cn/6fcdk
- hi.bi.h####.cn/81/ggeb
- hi.bi.h####.cn/81/h97
- hi.bi.h####.cn/81/lb3
- hi.bi.h####.cn/81/zb7
- sdk.appb####.com/api/pb?action=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/1539163102678b.jar
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/_i881345100.xml
- /data/data/####/_w881345100.xml
- /data/data/####/ab_pref_int.xml
- /data/data/####/ab_sdk_pref.xml
- /data/data/####/ads1677997446.jar
- /data/data/####/com.appbrain.ping
- /data/data/####/com.orchid.loversvqgcvghfvghfvhhjhjh_preferences.xml
- /data/data/####/cvb.xczbv.cxv.vatzh.jar
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/dfab440.xml
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/index
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_general_config.xml.bak (deleted)
- /data/data/####/umeng_it.cache
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
Другие:
Использует следующие алгоритмы для шифрования данных:
- DES
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
