Android.Triada.2654

Техническая информация

Вредоносные функции:

Выполняет код следующих детектируемых угроз:

Android.RemoteCode.907
Android.Triada.2018
Android.Triada.373.origin

Осуществляет доступ к приватному интерфейсу ITelephony.

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) 1####.196.40.71:9600
TCP(HTTP/1.1) 1####.196.40.71:9500
TCP(HTTP/1.1) a####.u####.com:80
TCP(HTTP/1.1) 1####.132.26.203:9700

Запросы DNS:

a####.u####.com
l.ace####.com

Запросы HTTP POST:

a####.u####.com/app_logs

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/-iKKQ0Q_gGhIduE-xnmDy934Fv0=.new
/data/data/####/.imprint
/data/data/####/01.csb
/data/data/####/010.csb
/data/data/####/011.csb
/data/data/####/012.csb
/data/data/####/013.csb
/data/data/####/014.csb
/data/data/####/015.csb
/data/data/####/016.csb
/data/data/####/017.csb
/data/data/####/018.csb
/data/data/####/019.csb
/data/data/####/01fengmian.csb
/data/data/####/02.csb
/data/data/####/020.csb
/data/data/####/021.csb
/data/data/####/022.csb
/data/data/####/023.csb
/data/data/####/024.csb
/data/data/####/025.csb
/data/data/####/026.csb
/data/data/####/027.csb
/data/data/####/028.csb
/data/data/####/029.csb
/data/data/####/02zhuuijiemian.csb
/data/data/####/03.csb
/data/data/####/030.csb
/data/data/####/031.csb
/data/data/####/032.csb
/data/data/####/033.csb
/data/data/####/034.csb
/data/data/####/035.csb
/data/data/####/036.csb
/data/data/####/037.csb
/data/data/####/038.csb
/data/data/####/039.csb
/data/data/####/03renwujiemian.csb
/data/data/####/04.csb
/data/data/####/040.csb
/data/data/####/041.csb
/data/data/####/042.csb
/data/data/####/043.csb
/data/data/####/044.csb
/data/data/####/045.csb
/data/data/####/046.csb
/data/data/####/047.csb
/data/data/####/048.csb
/data/data/####/049.csb
/data/data/####/04shangcheng.csb
/data/data/####/05.csb
/data/data/####/050.csb
/data/data/####/05xuanguan.csb
/data/data/####/06.csb
/data/data/####/06youxi.csb
/data/data/####/07.csb
/data/data/####/07fuhuo.csb
/data/data/####/08.csb
/data/data/####/08youxisiwang.csb
/data/data/####/09.csb
/data/data/####/09youxishengli.csb
/data/data/####/0kmYgD77U1uARqPZQv1Aszp8mdvQiR_FTfNxLLqV3dc=.new
/data/data/####/1.mp3
/data/data/####/10.csb
/data/data/####/10zanting.csb
/data/data/####/11.csb
/data/data/####/2.mp3
/data/data/####/2JHyQPfTeefnWzUT2bCpbffc0Hd4C1ctemb7gEhhkns=.new
/data/data/####/2_YuVyzH5dz2JV1Kv8mfdQTt5IDOkVuBAMg0mg==.new
/data/data/####/3.mp3
/data/data/####/33.png
/data/data/####/34.png
/data/data/####/4.mp3
/data/data/####/5.mp3
/data/data/####/7gAWkmXiX2Tl_R1SQaDzyEuk7dU=.new
/data/data/####/AHlfz2GqiahgTQlK4ORT2ifSk6ETMLiY.new
/data/data/####/Advc9_G6vG_3CEZs3ilPpbwoQhwI2427.new
/data/data/####/Alvin2.xml
/data/data/####/BQMiiESz7Ok9ci6k2Wp2WTDXLw171kf56kiG4A==.new
/data/data/####/Button_Disable.png
/data/data/####/Button_Normal.png
/data/data/####/ContextData.xml
/data/data/####/Fr0Szxj9taW8YD21llAi9lcMYJ8PRdJu.new
/data/data/####/Gr4lYyIoDDsZQz1k1pw0rA==
/data/data/####/ImageFile.png
/data/data/####/Marker Felt.ttf
/data/data/####/NewParticle11_1.plist
/data/data/####/NewParticle8_1.plist
/data/data/####/O6g7MfJHvJ9n5oBRqHy4TQ==
/data/data/####/QOr-dDasWhLRgYOYx_p5p6c0Oc0=.new
/data/data/####/SliderNode_Disable.png
/data/data/####/Sprite.png
/data/data/####/T5y_u7wSGT35dxNKlQonBUwwRpHENBxkOc3HAw==.new
/data/data/####/TDXzjWj8cRNJE-0OlmW30idy2jYsjAK4oIxB1GahOF8=.new
/data/data/####/VO5CPaJSAfIytdv-xVUA3EfF-mo=
/data/data/####/_nWs5oyGO-ZM7gTL.zip
/data/data/####/anniu.mp3
/data/data/####/anniu.wav
/data/data/####/arial.ttf
/data/data/####/bg.png
/data/data/####/biaot.png
/data/data/####/biaotk.png
/data/data/####/bj.csb
/data/data/####/bj.png
/data/data/####/bjjs.png
/data/data/####/bk.png
/data/data/####/btk.png
/data/data/####/cc.db
/data/data/####/cc.db-journal
/data/data/####/ch1.png
/data/data/####/ch10.png
/data/data/####/ch11.png
/data/data/####/ch12.png
/data/data/####/ch2.png
/data/data/####/ch3.png
/data/data/####/ch4.png
/data/data/####/ch5.png
/data/data/####/ch6.png
/data/data/####/ch7.png
/data/data/####/ch8.png
/data/data/####/ch9.png
/data/data/####/cha.png
/data/data/####/cha2.png
/data/data/####/cheng.png
/data/data/####/chengde.png
/data/data/####/chongk.png
/data/data/####/ck.png
/data/data/####/com.s.ypay.apk
/data/data/####/d1.png
/data/data/####/d2.png
/data/data/####/d3.png
/data/data/####/dL8Ckomf7K8ojB3T46PzuCwXCb_PqLmrjqA1Vg==_4GdIrb...ournal
/data/data/####/dL8Ckomf7K8ojB3T46PzuCwXCb_PqLmrjqA1Vg==_4GdIrbFCUEelkoUu
/data/data/####/dL8Ckomf7K8ojB3T46PzuCwXCb_PqLmrjqA1Vg==_RGjWcm...ournal
/data/data/####/dL8Ckomf7K8ojB3T46PzuCwXCb_PqLmrjqA1Vg==_TCapBa..._1kw==
/data/data/####/dL8Ckomf7K8ojB3T46PzuCwXCb_PqLmrjqA1Vg==_TCapBa...ournal
/data/data/####/dL8Ckomf7K8ojB3T46PzuCwXCb_PqLmrjqA1Vg==__9fiJL...TQjQ==
/data/data/####/dL8Ckomf7K8ojB3T46PzuCwXCb_PqLmrjqA1Vg==__9fiJL...ournal
/data/data/####/dL8Ckomf7K8ojB3T46PzuCwXCb_PqLmrjqA1Vg==_dK7348...78h-Y=
/data/data/####/dL8Ckomf7K8ojB3T46PzuCwXCb_PqLmrjqA1Vg==_dK7348...ournal
/data/data/####/diamonds.ExportJson
/data/data/####/diamonds0.plist
/data/data/####/diamonds0.png
/data/data/####/diamonds3.ExportJson
/data/data/####/diamonds30.plist
/data/data/####/diamonds30.png
/data/data/####/dianji.png
/data/data/####/dinaji.png
/data/data/####/dj.ExportJson
/data/data/####/dj.png
/data/data/####/dj0.plist
/data/data/####/dj0.png
/data/data/####/dk.png
/data/data/####/emEBqaVnMBwnbw_s8xhI_SsJ7hNJew1S.new
/data/data/####/exchangeIdentity.json
/data/data/####/exid.dat
/data/data/####/explode.ExportJson
/data/data/####/explode0.plist
/data/data/####/explode0.png
/data/data/####/fanh.png
/data/data/####/fanhui.png
/data/data/####/fbgdf.png
/data/data/####/fengmian.png
/data/data/####/fh.png
/data/data/####/fha.png
/data/data/####/fht.png
/data/data/####/fhuo.png
/data/data/####/fm.png
/data/data/####/fq.png
/data/data/####/g1SYk4T08iW63N-4MYlEPP4tb8U=.new
/data/data/####/gXrYRjWcyFjW8keKqmbjw2b3Iy7mJpw1.new
/data/data/####/gk_1.png
/data/data/####/gk_2.png
/data/data/####/gk_3.png
/data/data/####/gk_4.png
/data/data/####/gk_5.png
/data/data/####/gk_6.png
/data/data/####/gk_7.png
/data/data/####/gk_8.png
/data/data/####/gk_9.png
/data/data/####/goum.png
/data/data/####/guanb.png
/data/data/####/guanbi.png
/data/data/####/guang.ExportJson
/data/data/####/guang.png
/data/data/####/guang0.plist
/data/data/####/guang0.png
/data/data/####/guang2.png
/data/data/####/guang3.png
/data/data/####/guanka.png
/data/data/####/guanqia.png
/data/data/####/guanqia1.png
/data/data/####/hrmb.png
/data/data/####/hx.png
/data/data/####/hzvaa_f.zip
/data/data/####/jb.png
/data/data/####/jbk.png
/data/data/####/jbx.png
/data/data/####/jd1.png
/data/data/####/jd2.png
/data/data/####/jd3.png
/data/data/####/jd5.png
/data/data/####/jia.png
/data/data/####/jiahao.png
/data/data/####/jiangli.png
/data/data/####/jingqingqidai.png
/data/data/####/jixu.png
/data/data/####/jl.png
/data/data/####/jll.png
/data/data/####/jqqd.png
/data/data/####/jssz.png
/data/data/####/jx.png
/data/data/####/k.png
/data/data/####/k0.png
/data/data/####/k1.png
/data/data/####/k10.png
/data/data/####/k100.png
/data/data/####/k103.png
/data/data/####/k104.png
/data/data/####/k105.png
/data/data/####/k106.png
/data/data/####/k107.png
/data/data/####/k109.png
/data/data/####/k110.png
/data/data/####/k113.png
/data/data/####/k114.png
/data/data/####/k115.png
/data/data/####/k116.png
/data/data/####/k12.png
/data/data/####/k123.png
/data/data/####/k124.png
/data/data/####/k125.png
/data/data/####/k13.png
/data/data/####/k14.png
/data/data/####/k15.png
/data/data/####/k16.png
/data/data/####/k18.png
/data/data/####/k19.png
/data/data/####/k2.png
/data/data/####/k21.png
/data/data/####/k22.png
/data/data/####/k24.png
/data/data/####/k25.png
/data/data/####/k26.png
/data/data/####/k3.png
/data/data/####/k31.png
/data/data/####/k40.png
/data/data/####/k41.png
/data/data/####/k42.png
/data/data/####/k43.png
/data/data/####/k44.png
/data/data/####/k45.png
/data/data/####/k46.png
/data/data/####/k47.png
/data/data/####/k48.png
/data/data/####/k51.png
/data/data/####/k52.png
/data/data/####/k53.png
/data/data/####/k54.png
/data/data/####/k56.png
/data/data/####/k60.png
/data/data/####/k61.png
/data/data/####/k62.png
/data/data/####/k63.png
/data/data/####/k64.png
/data/data/####/k65.png
/data/data/####/k66.png
/data/data/####/k67.png
/data/data/####/k68.png
/data/data/####/k69.png
/data/data/####/k70.png
/data/data/####/k71.png
/data/data/####/k72.png
/data/data/####/k73.png
/data/data/####/k74.png
/data/data/####/k76.png
/data/data/####/k77.png
/data/data/####/k78.png
/data/data/####/k81.png
/data/data/####/k82.png
/data/data/####/k83.png
/data/data/####/k84.png
/data/data/####/k85.png
/data/data/####/k86.png
/data/data/####/k90.png
/data/data/####/k91.png
/data/data/####/k97.png
/data/data/####/k98.png
/data/data/####/k99.png
/data/data/####/k991.png
/data/data/####/k992.png
/data/data/####/k993.png
/data/data/####/k994.png
/data/data/####/k995.png
/data/data/####/k996.png
/data/data/####/k997.png
/data/data/####/k999.png
/data/data/####/kaishi.ExportJson
/data/data/####/kaishi.png
/data/data/####/kaishi0.plist
/data/data/####/kaishi0.png
/data/data/####/key
/data/data/####/kk.png
/data/data/####/ksn.png
/data/data/####/ksy.png
/data/data/####/kuang.png
/data/data/####/kuang1.png
/data/data/####/lI45345y-SOWzRCs.new
/data/data/####/lMuJpMFqwWlo7gt90xjniQ==.new
/data/data/####/level.png
/data/data/####/lib1.png
/data/data/####/lib2.png
/data/data/####/lib3.png
/data/data/####/lib4.png
/data/data/####/lib5.png
/data/data/####/lib6.png
/data/data/####/lib7.png
/data/data/####/libao1.csb
/data/data/####/libao2.csb
/data/data/####/libao3.csb
/data/data/####/libao4.csb
/data/data/####/libao5.csb
/data/data/####/libao6.csb
/data/data/####/libao7.csb
/data/data/####/libexec.so
/data/data/####/lingq.png
/data/data/####/lingqu.png
/data/data/####/lizi.plist
/data/data/####/lq_rw.png
/data/data/####/lrmb.png
/data/data/####/lvs.png
/data/data/####/lzuan.png
/data/data/####/mnngukYksCJtV4aN
/data/data/####/og3ojngNZ8renn9UbO6l8bAJ1l0=.new
/data/data/####/pGoVpaZz3E82iTkBJWUw1NCwcTo=.new
/data/data/####/pUOKvbpyJKOnBEu2EtiPUh6EQ1Vt-y9b.new
/data/data/####/play.png
/data/data/####/qianw.png
/data/data/####/qued.png
/data/data/####/queding.png
/data/data/####/qw_g.png
/data/data/####/qw_k.png
/data/data/####/r1.png
/data/data/####/r2.png
/data/data/####/r3.png
/data/data/####/r4.png
/data/data/####/rdata_cominzqmegysv.new
/data/data/####/re2.png
/data/data/####/renwu.png
/data/data/####/rltAeQuuu2bpSzeOtmrCRRjA8e4=.new
/data/data/####/rmb.png
/data/data/####/rtherth.png
/data/data/####/rtxXIuFP2iCkNE9quxf5DkvG720zu5gb.new
/data/data/####/runner_info.prop.new
/data/data/####/rw.png
/data/data/####/rw1.png
/data/data/####/rw3.png
/data/data/####/rw4.png
/data/data/####/rw_1.png
/data/data/####/rw_2.png
/data/data/####/rw_3.png
/data/data/####/rw_4.png
/data/data/####/rw_d.png
/data/data/####/rwdk.png
/data/data/####/rwk.png
/data/data/####/s75pHn2r-i2D_PWRdQYChoQ12tEI0BEs.new
/data/data/####/san.png
/data/data/####/sb.png
/data/data/####/sc_d.png
/data/data/####/sct.png
/data/data/####/shangcheng.png
/data/data/####/shangdain.png
/data/data/####/shengli.png
/data/data/####/shense.csb
/data/data/####/shibai.mp3
/data/data/####/shibai.png
/data/data/####/shuxian.png
/data/data/####/sk.png
/data/data/####/streakImg.png
/data/data/####/suilie.mp3
/data/data/####/suoding.png
/data/data/####/sx.png
/data/data/####/sz.png
/data/data/####/sz1.png
/data/data/####/sz2.png
/data/data/####/sz4.png
/data/data/####/szrmb.png
/data/data/####/t1.png
/data/data/####/t10.png
/data/data/####/t11.png
/data/data/####/t12.png
/data/data/####/t13.png
/data/data/####/t14.png
/data/data/####/t15.png
/data/data/####/t16.png
/data/data/####/t17.png
/data/data/####/t18.png
/data/data/####/t19.png
/data/data/####/t2.png
/data/data/####/t20.png
/data/data/####/t3.png
/data/data/####/t4.png
/data/data/####/t5.png
/data/data/####/t6.png
/data/data/####/t7.png
/data/data/####/t8.png
/data/data/####/t9.png
/data/data/####/task.png
/data/data/####/tc.png
/data/data/####/temp.zip
/data/data/####/temp1.zip
/data/data/####/tl.png
/data/data/####/tllb.png
/data/data/####/tongguan1.ExportJson
/data/data/####/tongguan10.plist
/data/data/####/tongguan10.png
/data/data/####/ttt.png
/data/data/####/tttt.png
/data/data/####/ttttt.png
/data/data/####/tuic.png
/data/data/####/tuichu.png
/data/data/####/u5UNctkXPbs0XZ-BdelxVQ==.new
/data/data/####/ua.db
/data/data/####/ua.db-journal
/data/data/####/ui3.png
/data/data/####/umeng_general_config.xml
/data/data/####/umeng_it.cache
/data/data/####/unknown.xml
/data/data/####/vi_db_pay-journal
/data/data/####/w1.png
/data/data/####/w10.png
/data/data/####/w11.png
/data/data/####/w2.png
/data/data/####/w3.png
/data/data/####/w4.png
/data/data/####/w7.png
/data/data/####/w8.png
/data/data/####/w9.png
/data/data/####/wROZkNJOYHIQPtlM
/data/data/####/webview.db-journal
/data/data/####/weib.png
/data/data/####/weijis.png
/data/data/####/weiwanc.png
/data/data/####/weixuanzhong.png
/data/data/####/wnlb.png
/data/data/####/wrWpad9fQF4gP36ld9fg8w==
/data/data/####/wrWpad9fQF4gP36ld9fg8w==.new
/data/data/####/xg_d.png
/data/data/####/xiayg.png
/data/data/####/xiayig.png
/data/data/####/xing.ExportJson
/data/data/####/xing.png
/data/data/####/xing0.plist
/data/data/####/xing0.png
/data/data/####/xing1.png
/data/data/####/xing2.png
/data/data/####/xingxing.ExportJson
/data/data/####/xingxing0.plist
/data/data/####/xingxing0.png
/data/data/####/xinji.mp3
/data/data/####/xuanguan.png
/data/data/####/xuanze.png
/data/data/####/xuanzhong.png
/data/data/####/xuehua_1.plist
/data/data/####/yX1P7EjLyxu395bKwCZx3GRC0F13whcyAGpv46HqiWg=.new
/data/data/####/yg.png
/data/data/####/yiwanc.png
/data/data/####/yk.png
/data/data/####/yun.ExportJson
/data/data/####/yun.png
/data/data/####/yun0.plist
/data/data/####/yun0.png
/data/data/####/yxks.png
/data/data/####/yxzt.png
/data/data/####/z1j.csb
/data/data/####/z2.csb
/data/data/####/z22.csb
/data/data/####/z4j.csb
/data/data/####/z5.csb
/data/data/####/zanting.png
/data/data/####/zhongdian.png
/data/data/####/zhujue.ExportJson
/data/data/####/zhujue.png
/data/data/####/zhujue0.plist
/data/data/####/zhujue0.png
/data/data/####/zhujued.ExportJson
/data/data/####/zhujued0.plist
/data/data/####/zhujued0.png
/data/data/####/zis.png
/data/data/####/zjzx.ExportJson
/data/data/####/zjzx0.plist
/data/data/####/zjzx0.png
/data/data/####/zntjm.png
/data/data/####/zs.png
/data/data/####/zty.png
/data/data/####/zuan.png
/data/data/####/zuijia.png
/data/data/####/zzz.png
/data/media/####/.cfg
/data/media/####/.uunique.new
/data/media/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
/data/media/####/Alvin2.xml
/data/media/####/ContextData.xml
/data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
/data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
/data/media/####/MP8MtaBuguN9jnuSwtN1kQ==
/data/media/####/r_pkDgN4OhnkSa0D

Другие:

Запускает следующие shell-скрипты:

/system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
<Package Folder>/code-2764154/mnngukYksCJtV4aN -p <Package> -c com.inzqm.egysv.jotter.PeanutReceiver -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
cat /sys/block/mmcblk0/device/cid
getprop ro.build.version.emui
getprop ro.build.version.opporom
getprop ro.miui.ui.version.name
getprop ro.product.cpu.abi
getprop ro.vivo.os.version
getprop ro.yunos.version
sh <Package Folder>/code-2764154/mnngukYksCJtV4aN -p <Package> -c com.inzqm.egysv.jotter.PeanutReceiver -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung

Загружает динамические библиотеки:

cocos2dcpp
libexec

Использует следующие алгоритмы для шифрования данных:

AES-CBC-PKCS5Padding
AES-CBC-PKCS7Padding
DES-ECB-NoPadding

Использует следующие алгоритмы для расшифровки данных:

AES-CBC-PKCS7Padding
DES-ECB-NoPadding

Использует специальную библиотеку для скрытия исполняемого байт-кода.

Получает информацию о местоположении.

Получает информацию о сети.

Получает информацию о телефоне (номер, IMEI и т. д.).

Получает информацию об установленных приложениях.

Получает информацию о запущенных приложениях.

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Парсит информацию из SMS.

Получает информацию об отправленых/принятых SMS.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней