Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.95
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) p.s.3####.cn:80
- TCP(HTTP/1.1) s####.s.360.cn:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(TLS/1.0) api.w####.com:443
- TCP(TLS/1.0) cc.p####.dc.####.cn:443
- TCP(TLS/1.0) mdm.ope####.360.cn:443
- TCP 1####.39.205.50:443
Запросы DNS:
- and####.b####.qq.com
- api.w####.com
- cc.p####.dc.####.cn
- mdm.ope####.360.cn
- p.s.3####.cn
- s####.s.360.cn
Запросы HTTP GET:
- s####.s.360.cn/ak/02522a2b2726fb0a03bb19f2d8d9524d.html?m2=####
- s####.s.360.cn/ak/6766aa2750c19aad2fa1b32f36ed4aee.html?m2=####
Запросы HTTP POST:
- and####.b####.qq.com/rqd/async?aid=####
- p.s.3####.cn/pstat/plog.php
- p.s.3####.cn/update/update.php?p=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/1004
- /data/data/####/2033145970-602345128
- /data/data/####/QH_DeviceSDK.xml
- /data/data/####/QH_SDK_M2.xml
- /data/data/####/QH_SDK_UserData02522a2b2726fb0a03bb19f2d8d9524d.xml
- /data/data/####/QH_SDK_UserData6766aa2750c19aad2fa1b32f36ed4aee...leted)
- /data/data/####/QH_SDK_UserData6766aa2750c19aad2fa1b32f36ed4aee.xml
- /data/data/####/QH_SDK_sessionID02522a2b2726fb0a03bb19f2d8d9524d.xml
- /data/data/####/Y29tLmJzc216dC5xaDM2MA==.tick.lock
- /data/data/####/bugly_db_-journal
- /data/data/####/com_qk.xml
- /data/data/####/crashrecord.xml
- /data/data/####/libjiagu-151979384.so
- /data/data/####/local_crash_lock
- /data/data/####/multidex.version.xml
- /data/data/####/native_record_lock
- /data/data/####/push_share.xml
- /data/data/####/sdk_apk_info.xml
- /data/data/####/security_info
- /data/media/####/.deviceId
- /data/media/####/.iddata
- /data/media/####/.nomedia
- /data/media/####/02522a2b2726fb0a03bb19f2d8d9524d
- /data/media/####/6766aa2750c19aad2fa1b32f36ed4aee
- /data/media/####/6766aa2750c19aad2fa1b32f36ed4aee (deleted)
- /data/media/####/7N1
- /data/media/####/7N1 (deleted)
- /data/media/####/Y29tLmJzc216dC5xaDM2MA==
- /data/media/####/Y29tLmJzc216dC5xaDM2MA== (deleted)
- /data/media/####/com.bssmzt.qh360.qk.channeltype.txt
- /data/media/####/data.lock
- /data/media/####/dcsdid.dat
- /data/media/####/kDd
- /data/media/####/kDd (deleted)
- /data/media/####/qk.dvid.txt
- /data/media/####/report.lock
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop
- /system/bin/sh -c type su
- getprop
Загружает динамические библиотеки:
- Bugly
- libjiagu-151979384
- qhsdk
- qkcheck
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- AES-GCM-NoPadding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
