Техническая информация
Вредоносные функции:
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) m.d####.mob.com:80
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(HTTP/1.1) 1####.114.206.188:8888
- TCP(HTTP/1.1) s.d####.com:80
- TCP(HTTP/1.1) god####.b####.yy.####.com:80
- TCP(HTTP/1.1) d####.iap####.com:8083
- TCP(HTTP/1.1) api.s####.mob.com:80
- TCP(HTTP/1.1) jian####.wow####.com:80
- TCP(HTTP/1.1) 6584232####.dlc####.fas####.com:80
Запросы DNS:
- a####.exc.mob.com
- a####.u####.com
- api.s####.mob.com
- d####.iap####.com
- f####.bianxia####.com
- god####.b####.yy.com
- img.y####.com
- jian####.wow####.com
- m.d####.mob.com
- s.d####.com
Запросы HTTP GET:
- 6584232####.dlc####.fas####.com/2015/0117/2015011703552329226.jpg
- 6584232####.dlc####.fas####.com/2015/0117/2015011703553729237.jpg
- 6584232####.dlc####.fas####.com/2015/0117/2015011703560429259.jpg
- 6584232####.dlc####.fas####.com/2015/0117/2015011703571529350.jpg
- 6584232####.dlc####.fas####.com/2015/0117/2015011703571929361.jpg
- 6584232####.dlc####.fas####.com/2015/0117/2015011704001429647.jpg
- 6584232####.dlc####.fas####.com/2015/0117/2015011711443411731.jpg
- 6584232####.dlc####.fas####.com/2015/0117/2015011711450111770.jpg
- 6584232####.dlc####.fas####.com/2015/0117/2015011711452211794.jpg
- 6584232####.dlc####.fas####.com/2015/0117/2015011711454911816.jpg
- 6584232####.dlc####.fas####.com/2015/0117/2015011711463611865.jpg
- 6584232####.dlc####.fas####.com/2017/0403/20170403125837664.jpg
- god####.b####.yy.####.com/djFiZThiOGVkMzNmZmNmY2Y3OTllYWJjOTc0ZWJlOWIzMT...
- god####.b####.yy.####.com/djQ2MmE2MzQwNjFlNTQ2Y2I2OTg3ZTA0N2U1ZjY1ODgxMT...
- god####.b####.yy.####.com/dmI5NGIwODg1OWUyMmQxNTE4ZDk0YWE1MTg0MDJmOTc0MT...
- god####.b####.yy.####.com/dmJmYzE3OTcyYWJlNTljNDNhYzQ2MmIzZDQwZWVlNTNjMT...
- god####.b####.yy.####.com/dmU5ZTc0MTk0Y2QzOWYzYmJjMjc0OTA3YTI4NWY3MzBhMT...
- jian####.wow####.com/appserver/classes/Ad?where=####&limit=####&order=##...
- jian####.wow####.com/appserver/classes/Album?where=####&limit=####&skip=...
- jian####.wow####.com/appserver/classes/Comment?limit=####&where=####&ski...
- jian####.wow####.com/appserver/classes/Feed?limit=####&where=####&skip=#...
- jian####.wow####.com/appserver/classes/Photo?where=####&limit=####&order...
- jian####.wow####.com/appserver/classes/Version?where=####&limit=####
- jian####.wow####.com/jradmin/upload/app/CeQUF2L09PsJvHI1AoInKD6bN5FbdjiN...
- jian####.wow####.com/jradmin/upload/app/VO0JdYyZhBStya5PGAmyGkty1fGDL6B4...
- jian####.wow####.com/jradmin/upload/app/b5rh7mCS7i3iPbgCBJHMc4iCusuLkT9O...
- jian####.wow####.com/jradmin/upload/app/sdZiZPojfK4DLoOW6tta83dBQfHS2DiU...
- m.d####.mob.com/v2/cconf?appkey=####&plat=####&apppkg=####&appver=####&n...
- s.d####.com/data/afficheimg/1531393083337799305.gif
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- a####.u####.com/app_logs
- api.s####.mob.com/conn
- api.s####.mob.com/snsconf
- d####.iap####.com:8083/
- jian####.wow####.com/appserver/batch/save
- jian####.wow####.com/appserver/functions/updateReadCount
Запросы HTTP PUT:
- jian####.wow####.com/appserver/always_collect
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.app_sharepreference.xml
- /data/data/####/.imprint
- /data/data/####/.lock
- /data/data/####/.mrecord
- /data/data/####/.mrlock
- /data/data/####/.statistics
- /data/data/####/04f1e5fa8a2285ad8dbfced3394697658398ceb19cf7b33....0.tmp
- /data/data/####/0a89968e5b617114627af8d5d9873013
- /data/data/####/0be834315d43fbb05043720a8cb96df4b0a063f2122268c....0.tmp
- /data/data/####/0d6d431ae5231adf1fd439c55c8b6a5524be6e342c26369....0.tmp
- /data/data/####/14ccee553b6371f71c01eb77528c16fc
- /data/data/####/1f4d97906ab31f4d1515a7825a23adc7d87858d72adc555....0.tmp
- /data/data/####/20d5006e337c9b79bff55c5b9bed8146b7ff4fd13fa2a31....0.tmp
- /data/data/####/2bd494426e649523d8e035e766ddc0ff80e5de10a13a135....0.tmp
- /data/data/####/2d4581cbfd4544b18d3aaa9c4974f57f
- /data/data/####/381f352b141696d0859a89474866914c873f6673e02e382....0.tmp
- /data/data/####/418b644001f787b065bfbe960153647aa6bb190613d5c62....0.tmp
- /data/data/####/43f2d1b55ec417cbfe12ea7b7d3497d1
- /data/data/####/4fd66b5474e6fde3c8088814b8516fd9
- /data/data/####/57af64bdd958b9e40c624ed642ff07df
- /data/data/####/5c248ada80e4e26e80fef29730a86c23af65b88216dc16f....0.tmp
- /data/data/####/606719e2435fd82b91132a05434e4af7dbabfe92aa9538d....0.tmp
- /data/data/####/615162f8f973bb6e1a850148146fecca0acb6b133e75ead....0.tmp
- /data/data/####/65f7cdd7b6882042a23f2334ab54b57908bde38bc2432b2....0.tmp
- /data/data/####/6d752f7c72558a80d46d6d340fec64087dd7ab52f379057....0.tmp
- /data/data/####/6fb26a1af22e1b5eef8a130f649ad521a672f544be06aa9....0.tmp
- /data/data/####/768fdbb27b781e666fc0d1c12a756ebb9c362af6969a2f5....0.tmp
- /data/data/####/7bfaeaa35ef74ab205255149bab58ae3658d2d75d701d79....0.tmp
- /data/data/####/7d3675c2ceb4293b0983646ddb9c654daf569d3c1de328b....0.tmp
- /data/data/####/83865dff9a0a26f1c4de964eb9fdd242
- /data/data/####/89ebcfb9cdcfef0212096692401a6e92
- /data/data/####/8fd5321491e9e45c766e8e08550c129d0edc14997d3ad01....0.tmp
- /data/data/####/939b04e82842f02ef1ff6f23bd6c6fdf9eb7d23aa12ca69....0.tmp
- /data/data/####/9b2f48b8adea306f14f834930452097b536de8108c15df1....0.tmp
- /data/data/####/9d8e59198b2861d0b0934236638face6c2cf41428a00e72....0.tmp
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/a1602f071b52cd79518c2945c2f36ba4f6d0e9810ca756c....0.tmp
- /data/data/####/afa367bcb5cbc4bd0d3c60b1153f1023985c06629d3f58f....0.tmp
- /data/data/####/c01af2fad2d220d9848e159d56bedc301f4a0231de1c20e....0.tmp
- /data/data/####/c059def3a32db0b5f3ff90ca95caf14322410c91b84bc5a....0.tmp
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/com.avos.avoscloud.RequestStatisticsUtil.data.xml
- /data/data/####/com.avos.avoscloud.analysis.xml
- /data/data/####/com.avos.avoscloud.approuter.EkOej4AwDQcg7TSMoi...sz.xml
- /data/data/####/d0b749803e7959629b47716f3bdfbc6bbc35e07eba220e2....0.tmp
- /data/data/####/d1bcf88728c11773417483a9c7d6a678
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/de3fd5b00e4a4354ec22949748f6b19f
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/fdd3795bc82eba50b44591b3c1702758fd53213ac5e5ee1....0.tmp
- /data/data/####/ffb1cac32e1d2bc42e62c1d8e2c1b772d0da99a5a634d1e....0.tmp
- /data/data/####/iapppay_config.xml
- /data/data/####/index
- /data/data/####/installation
- /data/data/####/journal.tmp
- /data/data/####/mob_commons_1.xml
- /data/data/####/mob_sdk_exception_1.xml
- /data/data/####/share_sdk_1.xml
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.dic_lock
- /data/media/####/.duid
- /data/media/####/.globalLock
- /data/media/####/.nulplt
- /data/media/####/.pkg_lock
- /data/media/####/.rcTag
- /data/media/####/.rc_lock
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/statistics.log (deleted)
Другие:
Запускает следующие shell-скрипты:
- sh
Загружает динамические библиотеки:
- ndkbitmap
- neh
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-ECB-NoPadding
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
