Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.248.origin
- Android.Triada.309
- Android.Triada.373.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8011
- TCP(HTTP/1.1) l.ace####.com:80
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) 3####.top:9999
- TCP(HTTP/1.1) d.angs####.com:5284
- TCP(TLS/1.0) 1####.217.17.142:443
Запросы DNS:
- 3####.top
- a####.b####.qq.com
- aexcep####.b####.qq.com
- and####.b####.qq.com
- d.angs####.com
- l.ace####.com
Запросы HTTP POST:
- 3####.top:9999/d02fe/696bcb0
- 3####.top:9999/d281095/913d8b
- 3####.top:9999/d68c89/6ba3
- 3####.top:9999/da38da/f6fe84
- 3####.top:9999/dc8/5a626
- 3####.top:9999/de961/f23c
- aexcep####.b####.qq.com:8011/rqd/async
- aexcep####.b####.qq.com:8012/rqd/async
- and####.b####.qq.com/rqd/async
- d.angs####.com:5284/android.frontserver/pcsvc
- l.ace####.com/ando/v2/ap?app_id=####&r=####
- l.ace####.com/ando/v2/lv?app_id=####&r=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/1B3A2967E5FD862EFD957606C65C8122
- /data/data/####/30592A6B8B0C769E3F7FDE6E1A033DF5
- /data/data/####/4bX4ds3v4h_Q1Va_4LmQXTijblU=.new
- /data/data/####/60uuda7JZrYUAvvnbm8jDqeakEE=.new
- /data/data/####/6lbXQjYAp3f5WNEy.zip
- /data/data/####/6m-sKhunZoLrCW98jnRR-ry_bgZpCPHrRY4EDP5GI0M=.new
- /data/data/####/79eBqnD24LxXKnMklNU8eiM5LkunVXJ8.new
- /data/data/####/7z0eCBN-uZup4W0k0ViUHC2ZEc3UjDXZ.new
- /data/data/####/B5j-ePh-C4G60hVAaohXRQPs1o4=
- /data/data/####/BKpc8zpJ0dRPNu3qtwq8W2MQOqBjz4V-.new
- /data/data/####/BxHLSmbA88b71kUr9jBlc3LbJZKGjBtfZmbk5JI4wRM=.new
- /data/data/####/IOxzN3MXDQXG6Mh2Yxf2lWBAg_kB1nvc_En9ICGCPUVG0MA...ournal
- /data/data/####/IOxzN3MXDQXG6Mh2Yxf2lWBAg_kB1nvc_En9ICGCPUVG0MAYH4_93XA==
- /data/data/####/IOxzN3MXDQXG6Mh2Yxf2lWBAg_kB1nvc_MlXzHjMtrl1N7n...ournal
- /data/data/####/IOxzN3MXDQXG6Mh2Yxf2lWBAg_kB1nvc_MlXzHjMtrl1N7nlYa0STyg==
- /data/data/####/IOxzN3MXDQXG6Mh2Yxf2lWBAg_kB1nvc_ZnH-Yp3LlHQ=-journal
- /data/data/####/IOxzN3MXDQXG6Mh2Yxf2lWBAg_kB1nvc_f22J7houaCJqJM...mayr0=
- /data/data/####/IOxzN3MXDQXG6Mh2Yxf2lWBAg_kB1nvc_f22J7houaCJqJM...ournal
- /data/data/####/IOxzN3MXDQXG6Mh2Yxf2lWBAg_kB1nvc_foEIZdV398Lf421w
- /data/data/####/IOxzN3MXDQXG6Mh2Yxf2lWBAg_kB1nvc_foEIZdV398Lf421w-journal
- /data/data/####/KBY1K4aSDhpCNuA6TUzY8A==.new
- /data/data/####/KZ2QuHfYQd9OBU6R.new
- /data/data/####/OnbRoYCVV2zbUfY5AcemQnjzl4Vouqd5.new
- /data/data/####/P6xUBChNwX0J4cx8yNFpn4UdZrhHFsTpW9EWEchjHbY=.new
- /data/data/####/PxpgW91S97Q041fR5tax7Y8eZhyhvodB.new
- /data/data/####/Si--SO54dLfDA5MuKRpV7_ppTQy8TC3odpNLAg==.new
- /data/data/####/VQNNU9C1Uh18SbWb
- /data/data/####/VSNZ4CY2LUAb6qQt4bpf6w==
- /data/data/####/WSRoCwWHhyRU6EiJYr_83q-8HnY=.new
- /data/data/####/Y3a2wmVGVqXIyg-_NG_ZD5wpDjokQtVf.new
- /data/data/####/ar_acF54PBTrSMSLOUY0oTAzjpvA1yZhmBo7nA==.new
- /data/data/####/bPEHvdbx_-qNqzACchaJDw==
- /data/data/####/bPEHvdbx_-qNqzACchaJDw==.new
- /data/data/####/bugly_db_legu-journal
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/d-vdyn8T-4LYgZ_P8l5xicY2vrOMgPiFJ5Sj_OS12UQ=.new
- /data/data/####/d6IZgTsIJ9df2_rz0jFGkElSY68=.new
- /data/data/####/ePo2DGplApnvVlObX0Nfc4OeVSE=.new
- /data/data/####/h_so5NsnClfJsfTjxfuXPBbntO4=.new
- /data/data/####/iP4PJCwXtVf4om96sZAvjw==
- /data/data/####/kb_idle.ini
- /data/data/####/kmSEAR_ldBp4tM35
- /data/data/####/libnfix.so
- /data/data/####/libshella-2.9.0.1.so
- /data/data/####/libufix.so
- /data/data/####/local_crash_lock
- /data/data/####/mix.dex
- /data/data/####/native_record_lock
- /data/data/####/nn_app.xml
- /data/data/####/pVBjq9uN2jwBTB6K_38qsBL0f3iL6ZiN.new
- /data/data/####/q0yAFHRX3rlvnqwiljDfso2FbJfDxIrW.new
- /data/data/####/rdata_comeuvnvnza.new
- /data/data/####/runner_info.prop.new
- /data/data/####/sJtOiPf_ECajd4_H2lkOdJ6sJ1IJa5IJUt3mqA==.new
- /data/data/####/security_info
- /data/data/####/sybg_f.zip
- /data/data/####/tiwBT3sConxCznQwTZLFRw==.new
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/zFvbAHlwvNfyeebBsb9DRq39IyQSAott.new
- /data/media/####/.uunique.new
- /data/media/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=
- /data/media/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
- /data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
- /data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
- /data/media/####/MP8MtaBuguN9jnuSwtN1kQ==
- /data/media/####/r_pkDgN4OhnkSa0D
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- <Package Folder>/code-7017635/VQNNU9C1Uh18SbWb -p <Package> -c com.euvn.vnza.ufhhbw.pv.pv.qf.c -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
- cat /sys/block/mmcblk0/device/cid
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-2.9.0.1.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
Загружает динамические библиотеки:
- Bugly
- cocos2dcpp
- libnfix
- libshella-2.9.0.1
- libufix
- nfix
- ufix
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о телефоне (номер, IMEI и т. д.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
