Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Triada.440.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) s####.tc.qq.com:80
- TCP(HTTP/1.1) up####.sdk.jig####.cn:80
- TCP(HTTP/1.1) dc.l####.com:80
- TCP(HTTP/1.1) p####.tc.qq.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) s####.e.qq.com:80
- TCP(HTTP/1.1) v.g####.qq.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
- TCP(HTTP/1.1) f####.mom####.cn:80
- TCP(HTTP/1.1) src.r####.com.####.com:80
- TCP(HTTP/1.1) sdk.c####.com:80
- TCP(HTTP/1.1) mi.g####.qq.com:80
- TCP(TLS/1.0) an####.l####.com:443
- TCP(TLS/1.0) res.k####.com:443
- TCP(TLS/1.0) co####.in####.cn:443
- TCP(TLS/1.0) o####.k####.com:443
- TCP(TLS/1.0) log.k####.com:443
- TCP(TLS/1.0) sdkc####.e.360.cn:443
- TCP(TLS/1.0) s####.j####.cn:443
- TCP(TLS/1.0) w.vip.a####.####.cn:443
- TCP 1####.121.49.67:7000
- UDP easytom####.com:19000
- UDP s.j####.cn:19000
Запросы DNS:
- a####.u####.com
- aexcep####.b####.qq.com
- an####.l####.com
- and####.b####.qq.com
- co####.in####.cn
- dc.l####.com
- easytom####.com
- f####.mom####.cn
- i.w.in####.cn
- imgc####.qq.com
- log.k####.com
- mi.g####.qq.com
- o####.k####.com
- p####.ugd####.com
- qzones####.g####.cn
- res.k####.com
- s####.e.qq.com
- s####.j####.cn
- s.j####.cn
- sdk.c####.com
- sdkc####.e.360.cn
- sis.j####.io
- src.r####.com
- tj.a####.cn
- up####.sdk.jig####.cn
- v.g####.qq.com
Запросы HTTP GET:
- f####.mom####.cn/upload/tmp/2018-10/25577db8a4c907150cb462b8e44c4d16.png
- f####.mom####.cn/upload/tmp/2018-10/4260ebe446cb0aeeba02f78876d01fc5.png
- f####.mom####.cn/upload/tmp/2018-10/c44658e026c8244d7cf4bae5beb3da78.png
- f####.mom####.cn/upload/tmp/2018-10/ea8bba546e34874d1f47d1d7f843c7bb.png
- f####.mom####.cn/upload/tmp/2018-10/f23bad64d2a51c206ec5e3215f6a83ee.png
- mi.g####.qq.com/gdt_mview.fcg?actual_width=####&count=####&r=####&templa...
- mi.g####.qq.com/gdt_mview.fcg?posw=####&posh=####&count=####&r=####&data...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/banner.appcache
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/banner.html
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/ad_logo.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/banner_close_b...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/bannerbg02.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/bannerbg03.jpg
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/bannerbg07.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/close02.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/close03.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/download_icon....
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/download_icon_...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/gdt_logo_black...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/icon-ad.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/sdk_bg.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/tc-gdt-sdk-ope...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/tsa_ad_logo.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/tsa_logo.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/js-release/20170821/b...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/js/lib/require.js
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android03/js-release/1.1.0/nati...
- p####.tc.qq.com/qzone/biz/gdt/mod/android/AndroidAllInOne/proguard/his/r...
- s####.tc.qq.com/gdt/0/DAAZFV7AMgASwABjBbRsqDACC9HiF7.jpg/0?ck=####
- src.r####.com.####.com/kubo/dex/luomi_9.1.20.dex
Запросы HTTP POST:
- a####.u####.com/app_logs
- aexcep####.b####.qq.com:8012/rqd/async
- and####.b####.qq.com/rqd/async
- and####.b####.qq.com/rqd/async?aid=####
- dc.l####.com/adLogs/adLog
- dc.l####.com/hLogs/saveHeartbeatLog
- dc.l####.com/startLog/startLog
- dc.l####.com/wLog/wLog
- s####.e.qq.com/activate
- sdk.c####.com/versiontapi.php?v=####&type=####
- up####.sdk.jig####.cn/v1/push/sdk/postlist
- v.g####.qq.com/gdt_stats.fcg
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/0146ff2e-5cc1-4299-8d72-f13437b61549
- /data/data/####/0311b6ab-787a-44b2-93ed-82c5ec289020
- /data/data/####/1004
- /data/data/####/138d1251-79da-40d1-ae24-b5d0989dfa9d
- /data/data/####/2281.yaqcookie
- /data/data/####/8db9fef2-f782-4d63-809a-963ef589bfb7
- /data/data/####/AKTorchDownload.db-journal
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/BuglySdkInfos.xml
- /data/data/####/GDTSDK.db
- /data/data/####/GDTSDK.db-journal
- /data/data/####/JPushSA_Config.xml
- /data/data/####/MultiDex.lock
- /data/data/####/appPackageNames_v2
- /data/data/####/ax_c.xml
- /data/data/####/ax_c.xml.bak (deleted)
- /data/data/####/bc893333-1fa9-4bf9-bb43-4da3a9116da4
- /data/data/####/bugly_db_-journal
- /data/data/####/bugly_db_legu-journal
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/charge_config.xml
- /data/data/####/cloud_switch_cache
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.rid.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/com.im.keyValueStore.aes_key_store.xml
- /data/data/####/com.im.keyValueStore.config_store.xml
- /data/data/####/com.im.keyValueStore.sdk_version_store.xml
- /data/data/####/com.im.keyValueStore.user_info_store.xml
- /data/data/####/com.im_7.1.1.db
- /data/data/####/com.im_7.1.1.db-journal
- /data/data/####/config.xml
- /data/data/####/config_read_progress.xml
- /data/data/####/configtmp.xml
- /data/data/####/core_update
- /data/data/####/core_update_locker
- /data/data/####/crashrecord.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/ddd91fa8-b2e5-4408-83c6-bf203a632f47
- /data/data/####/devCloudSetting.cfg
- /data/data/####/devCloudSetting.sig
- /data/data/####/device_collector
- /data/data/####/device_collector_locker
- /data/data/####/dexMethod.82894129.dat
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/finalcore.jar
- /data/data/####/gdt_config.cfg
- /data/data/####/gdt_plugin.jar
- /data/data/####/gdt_plugin.jar.sig
- /data/data/####/gdt_plugin.tmp
- /data/data/####/gdt_plugin.tmp.sig
- /data/data/####/gdt_suid
- /data/data/####/gg.dex
- /data/data/####/index
- /data/data/####/jpush_device_info.xml
- /data/data/####/jpush_local_notification.db
- /data/data/####/jpush_local_notification.db-journal
- /data/data/####/jpush_local_notification.db-wal
- /data/data/####/jpush_stat_cache.json
- /data/data/####/jpush_stat_cache_history.json
- /data/data/####/jpush_statistics.db
- /data/data/####/jpush_statistics.db-journal
- /data/data/####/jpush_statistics.db-shm (deleted)
- /data/data/####/jpush_statistics.db-wal
- /data/data/####/libnfix.so
- /data/data/####/libshella-2.9.0.2.so
- /data/data/####/libufix.so
- /data/data/####/libyaqbasic.82894129.so
- /data/data/####/libyaqpro.82894129.so
- /data/data/####/local_crash_lock
- /data/data/####/locker
- /data/data/####/log_reupload_task
- /data/data/####/log_reupload_task_locker
- /data/data/####/mc175.dex
- /data/data/####/mc_cache.xml
- /data/data/####/mix.dex
- /data/data/####/multidex.version.xml
- /data/data/####/native_record_lock
- /data/data/####/profile_task
- /data/data/####/profile_task_locker
- /data/data/####/sdkCloudSetting.cfg
- /data/data/####/sdkCloudSetting.sig
- /data/data/####/security_info
- /data/data/####/timer_config.xml
- /data/data/####/torch_sdk_config.xml
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_general_config.xml.bak
- /data/data/####/umeng_it.cache
- /data/data/####/uninstall_apk
- /data/data/####/uninstall_apk_locker
- /data/data/####/update_lc
- /data/data/####/waitingDown
- /data/data/####/waitingDown_locker
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/yaqsdkcookie
- /data/media/####/.nomedia
- /data/media/####/.push_deviceid
- /data/media/####/.sfp
- /data/media/####/.testf
- /data/media/####/0063031024d68e76cee683bdc6823efc099abab16a5598....0.tmp
- /data/media/####/05dc62c9e761b00aaff88f1061d66bb98141b1144ef123....0.tmp
- /data/media/####/0815dcbac1c0f9b471aae0c83638f1ca551de4cc13f2a8....0.tmp
- /data/media/####/0b292628ff5c81fb83da083d25e9e9de0d0abd48c23ea5....0.tmp
- /data/media/####/1.txt
- /data/media/####/13df7670f1f1716fa9cda0d214d64b9fa0ddc0a1984b40....0.tmp
- /data/media/####/182ea9f1f97a948f0f52cec7737c1cb0df6ad1f3e8a4bf....0.tmp
- /data/media/####/1a9db64dc9bbaf9db0ba1f890e3dd28b00604051d35140....0.tmp
- /data/media/####/1adb7550d847ca5d9ab6f6191783db76e9a27b95c172f5....0.tmp
- /data/media/####/1c62b61a735e02345c78fef7f18d36a3576a310d25b3b7....0.tmp
- /data/media/####/2.txt
- /data/media/####/209044828e78d8c475646f2fba945dc7f4dee750f91cc5....0.tmp
- /data/media/####/21dcd6fb637464ccbff0047ba9737e1051fe2b71f8c6ca....0.tmp
- /data/media/####/264ceff544a4ee7156ceb5e8702b81950fed4e759e4f58....0.tmp
- /data/media/####/3.txt
- /data/media/####/312a18b44b6ddf6d9a2b06db05b23ffb.0
- /data/media/####/3806737c0587728c4705ad361fa0e0f927a9924ba3e69f....0.tmp
- /data/media/####/3823354218d179882aacb91b222e7159f2a275e7a26b6b....0.tmp
- /data/media/####/3ca72dc2085f59ef6bff44c1747ab352607b790c14c479....0.tmp
- /data/media/####/419d59c7678568fada8536b1e0620549029768abc14dc7....0.tmp
- /data/media/####/44cb2a71b04b6efc36575fcfef3fa6f1a8d1caac0d4309....0.tmp
- /data/media/####/46386823b6ae36340118c7840eed34b13ef527e5497dd4....0.tmp
- /data/media/####/4a5dadba6cb2f00c8c4ec7a1990b793ce5b93db4347bbe....0.tmp
- /data/media/####/4b48e184e7503d20fac106ea2e4949e2b3af0f51c48c47....0.tmp
- /data/media/####/4d7556cbf9632e90be0f85ec0f8518710ed87b7016214c....0.tmp
- /data/media/####/4e875b4fde0b8e0cf9d62927289080df.0
- /data/media/####/51ed93f5d738381fb6c826aa2d3a9f0451b55e5decfd58....0.tmp
- /data/media/####/55e5d6c2b74f44ca372115f0981f4e956b60f6e7c3004b....0.tmp
- /data/media/####/5afc62d454c09ef640828b5d60bf060fa5a01d24a36347....0.tmp
- /data/media/####/5e186763046391de7bca6d916728ebbfc11298f2de05de....0.tmp
- /data/media/####/5f0cac094977fe245eeed6ad107a874a9c1385aff81512....0.tmp
- /data/media/####/62d800f10767645d994f32bafc694db6c80830f5097f56....0.tmp
- /data/media/####/63f2f8614d87c33fd3b7540aa1ec80c9a9a5e3f06ad6ff....0.tmp
- /data/media/####/71770812f88ba17259fffaf98fe4b579.0
- /data/media/####/71802ad62e457b7e1c6ae6dc8be22e15bb64e934e1ba01....0.tmp
- /data/media/####/75c5e1e0efdf9f2b7faae54443f72a94b640ed9b0a46ba....0.tmp
- /data/media/####/77a209471bd64de88651258bc4e6ee53d9bdfa781ee141....0.tmp
- /data/media/####/7effc6edf9e665526fcf7368263d781e28874e1f46cc63....0.tmp
- /data/media/####/8056ee9617e42fd6d2e641017a3fe814a1bf3d77e1a816....0.tmp
- /data/media/####/80e24fb54ed7d45a7d851b803727dce92e94da621954ca....0.tmp
- /data/media/####/84c6f633eb80167e696ff2d55decddfa58ae2d471d2601....0.tmp
- /data/media/####/877f257a0740d577b20b6d95e96a5382aad260c7e4de7a....0.tmp
- /data/media/####/8bf0c9d471a29761a1a9dd6e0066058a2cda563dd31ba6....0.tmp
- /data/media/####/8fa05ad1871beb982ad77bef244c8c95bfc6619f4492b6....0.tmp
- /data/media/####/a1981e2d8b3719c50a075bba965be37758f5f0a1c918dc....0.tmp
- /data/media/####/a28e4d0e211d747188cdbcc0ac58d8decd4ba2b8a9b9c5....0.tmp
- /data/media/####/a524e2fe58b21eebe1a40ab87ec4c2973743395b8961ed....0.tmp
- /data/media/####/a825645fd5761ea638487e425bb8f877be37b0dd27f9fb....0.tmp
- /data/media/####/a951ef8bf93a6907596fb21d0db4a7c3ce8edce6610079....0.tmp
- /data/media/####/aa0b544fe74e5fef315df47be5d769facf707127cfd155....0.tmp
- /data/media/####/b3f5bc1862b1f26001fa9074b0e41b000244c43d79d175....0.tmp
- /data/media/####/bacf8adbb4123b3ca25a97baa9e26b52c6a347ad9c78e9....0.tmp
- /data/media/####/bcec0e4c5a6bb39ac0231b7b5fad141f474404ae2b09cf....0.tmp
- /data/media/####/c6ca1eab7fb2bc52eb2ddbd611b545e67eb4f3f2f51179....0.tmp
- /data/media/####/ccbb771c6ffb34dc7da2a216f9b1f6b3f233589cf0b261....0.tmp
- /data/media/####/cea8b35838c266b6155d9e2cbba78e0de039867908dcbd....0.tmp
- /data/media/####/d1d16c6822e39a062af2c6da84e0b797f56f15720af23a....0.tmp
- /data/media/####/d6ea21f67435f4829f5f7d0deb809bd0.0
- /data/media/####/e20a28bd9f1f454f6d3ad93ce54d66597094f3325d87b7....0.tmp
- /data/media/####/e722bb8dab18f2af511da98e43d5c110a255eab07190b9....0.tmp
- /data/media/####/ea217fa205a71f2f8b0af338beda34522e0d2badd4c768....0.tmp
- /data/media/####/ed4b1acbf02bdcf90f602d0422c7cc45975cf7dbe540e6....0.tmp
- /data/media/####/ff47e5e15eeceaa89c4c8808de1f23a5.0
- /data/media/####/ff6d1893aa1d6a99cb3b903a15a6afccde6716012c36eb....0.tmp
- /data/media/####/journal.tmp
- /data/media/####/uninstall_apk_list
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/sh -c getprop
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-2.9.0.2.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.smartisan.version
- getprop ro.vivo.os.build.display.id
- getprop ro.vivo.os.version
- getprop ro.yunos.version
- logcat -d -v threadtime
Загружает динамические библиотеки:
- Bugly
- jcore120
- libnfix
- libshella-2.9.0.2
- libufix
- libyaqbasic.82894129
- libyaqpro.82894129
- nfix
- ufix
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
- RSA-ECB-nopadding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-ECB-NoPadding
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
