Android.Triada.2863

Техническая информация

Вредоносные функции:

Выполняет код следующих детектируемых угроз:

Adware.Dowgin.14.origin
Android.Triada.2018
Android.Triada.452.origin

Осуществляет доступ к приватному интерфейсу ITelephony.

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) sdk.and####.com:80
TCP(HTTP/1.1) c####.7####.com:80
TCP(HTTP/1.1) 1####.55.98.58:80
TCP(HTTP/1.1) p####.tc.qq.com:80
TCP(HTTP/1.1) v.g####.qq.com:80
TCP(HTTP/1.1) s####.e.qq.com:80
TCP(HTTP/1.1) loc.map.b####.com:80
TCP(HTTP/1.1) mi.g####.qq.com:80
TCP(HTTP/1.1) commu####.7####.com:80
TCP(HTTP/1.1) s####.tc.qq.com:80
TCP(TLS/1.0) gv1.x####.com:443
TCP(TLS/1.0) c####.x####.com:443
TCP(TLS/1.0) res####.a####.com:443
UDP 2####.0.0.222:54997

Запросы DNS:

c####.7####.com
c####.x####.com
commu####.7####.com
gv1.x####.com
imgc####.qq.com
l.ace####.com
loc.map.b####.com
mi.g####.qq.com
p####.ugd####.com
res####.a####.com
s####.e.qq.com
sdk.and####.com
v.g####.qq.com

Запросы HTTP GET:

commu####.7####.com/index.php/Sdk/index/GetFunctionListV2?DeviceID=####&...
mi.g####.qq.com/gdt_mview.fcg?datatype=####&posid=####&count=####&r=####...
p####.tc.qq.com/qzone/biz/gdt/mod/android/AndroidAllInOne/proguard/his/r...
s####.tc.qq.com/gdt/0/8d8187142ff64a9f36e425ea05d4f7a5.PNG/0
s####.tc.qq.com/gdt/0/DAAGTJ3AEsAEsAAYBb1v1KBschG6IB.jpg/0?ck=####

Запросы HTTP POST:

c####.7####.com/index.php/sdk/CollectRequest?
loc.map.b####.com/sdk.php
s####.e.qq.com/activate
s####.e.qq.com/launch
sdk.and####.com/dow.php
sdk.and####.com/init.php?t=####
sdk.and####.com/log.php?t=####
sdk.and####.com/n.php?t=####
sdk.and####.com/new_add.php?t=####
v.g####.qq.com/gdt_stats.fcg

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/04178e774d903bb560c995389c687f8a.0
/data/data/####/07XotEUjoHIRsmci6NgHIrQVpofCLQNF.new
/data/data/####/0b98539e775084f1dd6a3a7a8ce88ab1.0
/data/data/####/0c5c90dfd21d5f0944d877964c1535dc.0
/data/data/####/0f2ad16fce6d05c807ef567dc72f6eba.0
/data/data/####/1536462054527_26031
/data/data/####/1536462055178_26031
/data/data/####/1536462056098_26031
/data/data/####/1536462056768_26031
/data/data/####/1536462057786_26031
/data/data/####/1536462058241_26031
/data/data/####/1546673276196_2284
/data/data/####/1546673276360_2284
/data/data/####/1546673276577_2284
/data/data/####/1546673278122_2284
/data/data/####/1546673278316_2284
/data/data/####/1546673278527_2284
/data/data/####/1546673278997_2284
/data/data/####/1546673279172_2284
/data/data/####/1546673279553_2284
/data/data/####/1546673300792_2411
/data/data/####/1546673302674_2411
/data/data/####/1546673323281_2605
/data/data/####/1546673325662_2605
/data/data/####/1546673332052_2722
/data/data/####/1546673334417_2722
/data/data/####/164fe0aaa67225074634c858fd0b601e.0
/data/data/####/169fd0c27bdfa9867a8047b7de2798a8.0
/data/data/####/1883535565fcf6ba0dbcba4ad493bd33.0
/data/data/####/1d2b904cbeadfb72ed9546111a231c85.0
/data/data/####/24c110e1f76093b35c3c2df1927aab79.0
/data/data/####/27714b2b5cec30deaad9f8777151ad4c.0
/data/data/####/2FzzExsQqkpTqHycqQ-p0dqSKp0VooZ2.new
/data/data/####/2c7e59d6f47a0f7435f627df4ae21fa7.0
/data/data/####/31137ad9feafa809626ccc98709e0e1d.0
/data/data/####/381cOGgqrrOtkQx2
/data/data/####/39caee339479de8432cc7502b5123850.0
/data/data/####/3c021764c09635ade7ae25a7b75a90ad;account_file.xml
/data/data/####/3h8rol4auv5cbwgv05nx3iz2l
/data/data/####/3h8rol4auv5cbwgv05nx3iz2l.tmp
/data/data/####/3ouWJoBrAY5QTNn-4YIa3Qc2Ws0=.new
/data/data/####/43d46e2b48c8540763b225b7cefe4624.0
/data/data/####/4705561b40f485ae1bb35aecfa44cb60.0
/data/data/####/4d71cb5cf3a1d996dfc775ef925210f7.0
/data/data/####/521bd80f12544fc9c2424a475cdc5a61.0
/data/data/####/68xVSX832VXVFcU5k1Qtsx8SkiVNWtS-Aa4abgXjAas=.new
/data/data/####/78a5v8vtit0w9agcw3yx92474
/data/data/####/78a5v8vtit0w9agcw3yx92474.tmp
/data/data/####/8158de957656d5be166473be3cf2df28.0
/data/data/####/8678a0697ea67a4d77a62958a1245627.0
/data/data/####/961729e3075662cdce816f96b3ac54ad.0
/data/data/####/ABelvKfN9gfDI_CKel3urWRynf4TXgxl
/data/data/####/ABelvKfN9gfDI_CKel3urWRynf4TXgxl.new
/data/data/####/AhS_ZL_MFad7UnQcYd3xXg==
/data/data/####/Archimedes_p1
/data/data/####/Archimedes_p2
/data/data/####/Archimedes_p3
/data/data/####/Archimedes_p4
/data/data/####/Archimedes_p5
/data/data/####/BiK3IVGKjyGQIJA_1woeKRPN2Fs=.new
/data/data/####/BuglySdkInfos.xml
/data/data/####/Em1HIqHwd2RRExlWieQxJnvxWGG4sjT_G5uI6Q==.new
/data/data/####/FBhi0-d7dTJwylQ9RLWfj44D7QNYM8v7ISYx1w==.new
/data/data/####/GDTSDK.db
/data/data/####/GDTSDK.db-journal
/data/data/####/GycogrReyG_T2-0HLoikDTWylBvz7JCr.new
/data/data/####/Ip0KTDzPSymsBg6Nv4yCnC--7zJCO9Ls.new
/data/data/####/Lock2
/data/data/####/Lock3
/data/data/####/RaUEwNJKtMn8F6w3m8h6bA==
/data/data/####/SGGkNF-Pk-C5vBe1enFqjORMQ8U=.new
/data/data/####/T5HY2oRDHL-frk4mbu68MMNEFhU=.new
/data/data/####/TDCloud_Control_Cache_Param3
/data/data/####/TD_AES_DATA_LOCK
/data/data/####/TD_AES_IV_LOCK
/data/data/####/TD_AES_SALT_LOCK
/data/data/####/TD__Env_Synchronous_Lock__
/data/data/####/TD__Game_Synchronous_Lock__
/data/data/####/TD_app_pefercen_profile.xml
/data/data/####/TDpref_cloudcontrol3.xml
/data/data/####/TDpref_game.xml
/data/data/####/TDpref_longtime.xml
/data/data/####/TDpref_longtime3.xml
/data/data/####/TDpref_shorttime.xml
/data/data/####/TDpref_shorttime3.xml
/data/data/####/TJfE6yYCKmr9T2N5x-dqGSobSZ-vvQYfJcRpIQ==.new
/data/data/####/TQQJn_L9EgY0joY1yoZHnQ==.new
/data/data/####/Ut6LTC8bRVI3K8qR.zip
/data/data/####/WCwaxTaisxsfw99r5galW0DPiKcQQ83EBtETpT9RuF4=.new
/data/data/####/Y9khJb7kKiRc7T1juiEsizD8Z68=.new
/data/data/####/ZCn_g-oSdRbin-m4ysQY_k2qzHg=.new
/data/data/####/__zad_uuid__
/data/data/####/_db_zad_.xml
/data/data/####/a2131e841594f1f3b722588dddf2de1a.0
/data/data/####/adhmcfg-journal
/data/data/####/adhmcfg_ke-journal
/data/data/####/b.gif
/data/data/####/b42023403b1fe58cc7a593bd42b01e5b;account_file.xml
/data/data/####/b7cbb25739d4191944e8a348f586d5f6.0
/data/data/####/cfg_qq_stat.xml
/data/data/####/com.android.opengl.shaders_cache
/data/data/####/com.zdkj.circle.taptap.v2.playerprefs.xml
/data/data/####/com.zdkj.circle.taptap_preferences.xml
/data/data/####/cur_ver_file.xml
/data/data/####/d3383ddcf9a34bcbf5bd5368256541d5.0
/data/data/####/d734a396262fed7b7e4fa1276c05b624.0
/data/data/####/db15487.xml
/data/data/####/dcc7d28d9675d02aeec0f733661c87aa.0
/data/data/####/devCloudSetting.cfg
/data/data/####/devCloudSetting.sig
/data/data/####/e0771d9e03ecb3f390ab99ec68b2f821.0
/data/data/####/f.log
/data/data/####/f852acf622298b9398484229411180ba.0
/data/data/####/fL3NvYAZ7H70FvwfEuh5WFdmu9o=.new
/data/data/####/gT9Fh6NGmMI6b09WY1WAjk9uLs7F3C-D.new
/data/data/####/gdt_plugin.jar
/data/data/####/gdt_plugin.jar.sig
/data/data/####/gdt_plugin.tmp
/data/data/####/gdt_plugin.tmp.sig
/data/data/####/gdt_suid
/data/data/####/hRO-5-xIXGCaYeec.new
/data/data/####/hm361_ds.jar
/data/data/####/hm361_s_p297.dat
/data/data/####/hm_ad361_hotcfg.xml
/data/data/####/hm_ad361_hotcfg.xml.bak
/data/data/####/hm_ad361_kecfg.xml
/data/data/####/hmdb
/data/data/####/hmdb-journal
/data/data/####/hrBsF-h4GGpeNBLrlj2XlBey7fK4tiKh.new
/data/data/####/iv
/data/data/####/journal
/data/data/####/lUBwvgDjpYMPxvEL_H6aP-jdlFSzyOBYvEWLQY5JSLw=.new
/data/data/####/logdb.db
/data/data/####/logdb.db-journal
/data/data/####/nKwNfEkWAWahbrlGna1phuFXJfY=.new
/data/data/####/pref.xml
/data/data/####/program_cache
/data/data/####/qh-HutZbgJjzJUsEtDAvFA==.new
/data/data/####/qptbccm.jar
/data/data/####/rdata_comzbvumwuill.new
/data/data/####/rnltx1feT8NZfb-s
/data/data/####/runner_info.prop.new
/data/data/####/rx9qSFbLR-FzlAC1_Wki-UvoKLW7ZYQ2eOYrVN5HJfI=.new
/data/data/####/salt
/data/data/####/savegame.xml
/data/data/####/sdkCloudSetting.cfg
/data/data/####/sdkCloudSetting.sig
/data/data/####/srykxa_f.zip
/data/data/####/t_LYaeyuy10gxKC4skLmhA==
/data/data/####/t_LYaeyuy10gxKC4skLmhA==.new
/data/data/####/tdid.xml
/data/data/####/update_lc
/data/data/####/w_only_cfg7_000.xml
/data/data/####/webview.db-journal
/data/data/####/wppf_w_only_cfg7_1000.xml
/data/data/####/yA2SSH3dT1X8kmgcB5Zxz2APA77VaAXC.new
/data/data/####/yILmxnqgJfKDFtxOqUocHtD8D78=
/data/data/####/zFm6kp89WsqUVEwXm2WfwXBPVAui1eJN1jbBJQ==_04zXMH...gQblk=
/data/data/####/zFm6kp89WsqUVEwXm2WfwXBPVAui1eJN1jbBJQ==_04zXMH...ournal
/data/data/####/zFm6kp89WsqUVEwXm2WfwXBPVAui1eJN1jbBJQ==_fGPglc...ournal
/data/data/####/zFm6kp89WsqUVEwXm2WfwXBPVAui1eJN1jbBJQ==_fGPglcLcUIc6d78U
/data/data/####/zFm6kp89WsqUVEwXm2WfwXBPVAui1eJN1jbBJQ==_ljtOt1...ournal
/data/data/####/zFm6kp89WsqUVEwXm2WfwXBPVAui1eJN1jbBJQ==_wOy6R8...Jd7w==
/data/data/####/zFm6kp89WsqUVEwXm2WfwXBPVAui1eJN1jbBJQ==_wOy6R8...ournal
/data/data/####/zFm6kp89WsqUVEwXm2WfwXBPVAui1eJN1jbBJQ==_xXza18...MabQ==
/data/data/####/zFm6kp89WsqUVEwXm2WfwXBPVAui1eJN1jbBJQ==_xXza18...ournal
/data/data/####/zFm6kp89WsqUVEwXm2WfwXBPVAui1eJN1jbBJQ==_y5tjSz...ournal
/data/data/####/zcom.zdkj.circle.taptapop.jar
/data/media/####/.tcookieid
/data/media/####/.uunique.new
/data/media/####/1546673291980.db
/data/media/####/1546673305367.db
/data/media/####/1546673328588.db
/data/media/####/1546673336873.db
/data/media/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
/data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
/data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
/data/media/####/MP8MtaBuguN9jnuSwtN1kQ==
/data/media/####/alsn20170807.db
/data/media/####/alsn20170807.db-journal
/data/media/####/r_pkDgN4OhnkSa0D
/data/media/####/scity.txt

Другие:

Запускает следующие shell-скрипты:

/system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
<Package Folder>/code-9697862/381cOGgqrrOtkQx2 -p <Package> -c com.zbvum.wuill.floss.LemonReceiver -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
cat /sys/class/net/wlan0/address
getprop
getprop ro.build.version.emui
getprop ro.build.version.opporom
getprop ro.miui.ui.version.name
getprop ro.vivo.os.version
getprop ro.yunos.version
sh <Package Folder>/code-9697862/381cOGgqrrOtkQx2 -p <Package> -c com.zbvum.wuill.floss.LemonReceiver -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung

Загружает динамические библиотеки:

main

Использует следующие алгоритмы для шифрования данных:

AES
AES-CBC-PKCS5Padding
AES-ECB-PKCS7Padding
RSA-ECB-PKCS1Padding

Использует следующие алгоритмы для расшифровки данных:

AES
AES-ECB-PKCS7Padding
RSA-ECB-PKCS1Padding

Получает информацию о местоположении.

Получает информацию о сети.

Получает информацию о телефоне (номер, IMEI и т. д.).

Получает информацию о запущенных приложениях.

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней