Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Waps.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a.dia####.com:80
- TCP(HTTP/1.1) ba####.co####.com:80
- TCP(HTTP/1.1) www.m####.net:80
- TCP(HTTP/1.1) api.m####.net:80
- TCP(HTTP/1.1) apk.m####.net:80
- TCP(HTTP/1.1) app.w####.cn:80
- TCP(TLS/1.0) www.m####.net:443
Запросы DNS:
- a.dia####.com
- ads.m####.net
- ads.w####.cn
- api.m####.net
- apk.m####.net
- app.w####.cn
- ba####.co####.com
- k####.co####.com
- www.m####.net
Запросы HTTP GET:
- apk.m####.net/adimg/banner/201608/1470221642207_400_400.png
- app.w####.cn/action/connect/active?app_id=####&udid=####&imsi=####&net=#...
- app.w####.cn/action/pop_ad/ad?app_id=####&udid=####&imsi=####&net=####&b...
- www.m####.net/midous/mi_res.zip
- www.m####.net/newsdk/PushAd_desc_10_4_3.zip
- www.m####.net/newsdk/PushAd_dex_10_4_3.zip
- www.m####.net/newsdk/SpotAd_desc_1_2_6.zip
- www.m####.net/newsdk/SpotAd_dex_1_2_6.zip
- www.m####.net/newsdk/SpriteAd_desc_1_3_8.zip
- www.m####.net/newsdk/SpriteAd_dex_1_3_8.zip
- www.m####.net/newsdk/close.png
Запросы HTTP POST:
- a.dia####.com/dev/api/connect.php?device_id=####&imsi=####&device_name=#...
- a.dia####.com/dev/api/meta.php?device_id=####&imsi=####&device_name=####...
- api.m####.net/appscore4/cartoonad.bin
- api.m####.net/appscore4/popad.bin
- api.m####.net/sys_sta/aa.bin
- api.m####.net/sys_sta/an.bin
- app.w####.cn/action/user_info
- ba####.co####.com/cooguogw/banner.action?requestId=####&a=####
- ba####.co####.com/cooguogw/list2.action?appCount=####&requestId=####
- ba####.co####.com/cooguogw/list2.action?requestId=####
- www.m####.net/appscore4/active.bin
- www.m####.net/appscore4/getappconf.bin
- www.m####.net/appscore4/splash.bin
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.md5
- /data/data/####/.sec_version
- /data/data/####/AppSettings.xml
- /data/data/####/CacheTime.dat
- /data/data/####/Finalize_Flag.xml
- /data/data/####/MyAdCellStore_1.dat
- /data/data/####/ShowAdFlag.xml
- /data/data/####/Start_Tag.xml
- /data/data/####/_cp_app_data.xml
- /data/data/####/ballon1.dat
- /data/data/####/ballon2.dat
- /data/data/####/ballon3.dat
- /data/data/####/bath1.dat
- /data/data/####/bath2.dat
- /data/data/####/bath3.dat
- /data/data/####/bcp_cp.xml
- /data/data/####/bdownloads
- /data/data/####/bdownloads-journal
- /data/data/####/blink1.dat
- /data/data/####/blink2.dat
- /data/data/####/bubble_1.dat
- /data/data/####/bubble_2.dat
- /data/data/####/bubble_3.dat
- /data/data/####/bubble_4.dat
- /data/data/####/bubble_5.dat
- /data/data/####/bubble_6.dat
- /data/data/####/bubble_7.dat
- /data/data/####/bubble_8.dat
- /data/data/####/classes.dex
- /data/data/####/classes.jar
- /data/data/####/climax.mp3
- /data/data/####/com.sophydfj.finalplane
- /data/data/####/com.sophydfj.finalplane_cp_app_data.xml
- /data/data/####/com.sophydfj.finalplane_preferences.xml
- /data/data/####/com.sophydfj.finalplane_sprite_app_data.xml
- /data/data/####/coo_id.xml
- /data/data/####/eat1.dat
- /data/data/####/eat2.dat
- /data/data/####/eat3.dat
- /data/data/####/eat4.dat
- /data/data/####/eat5.dat
- /data/data/####/eat6.dat
- /data/data/####/eat7.dat
- /data/data/####/kdownloads
- /data/data/####/kdownloads-journal
- /data/data/####/ki.xml
- /data/data/####/kuzai_toggle_flag_pref.xml
- /data/data/####/left1.dat
- /data/data/####/left2.dat
- /data/data/####/left3.dat
- /data/data/####/mi_res.zip
- /data/data/####/mi_res.zip (deleted)
- /data/data/####/music1.dat
- /data/data/####/music2.dat
- /data/data/####/music3.dat
- /data/data/####/preferences.xml
- /data/data/####/preferences.xml.bak
- /data/data/####/right1.dat
- /data/data/####/right2.dat
- /data/data/####/right3.dat
- /data/data/####/sea1.dat
- /data/data/####/sea2.dat
- /data/data/####/sea3.dat
- /data/data/####/sea4.dat
- /data/data/####/send_data.xml
- /data/data/####/send_desc
- /data/data/####/send_plugin.jar
- /data/data/####/shark1.dat
- /data/data/####/shark2.dat
- /data/data/####/shark3.dat
- /data/data/####/shark4.dat
- /data/data/####/shark5.dat
- /data/data/####/shark6.dat
- /data/data/####/shark7.dat
- /data/data/####/shark8.dat
- /data/data/####/shit1.dat
- /data/data/####/shit2.dat
- /data/data/####/shit3.dat
- /data/data/####/shit4.dat
- /data/data/####/shit5.dat
- /data/data/####/sing1.dat
- /data/data/####/sing2.dat
- /data/data/####/sleep1.dat
- /data/data/####/sleep2.dat
- /data/data/####/sleep3.dat
- /data/data/####/spinner_01.dat
- /data/data/####/spinner_02.dat
- /data/data/####/spinner_03.dat
- /data/data/####/spinner_04.dat
- /data/data/####/spinner_05.dat
- /data/data/####/spinner_06.dat
- /data/data/####/spinner_07.dat
- /data/data/####/spinner_08.dat
- /data/data/####/spinner_09.dat
- /data/data/####/spinner_10.dat
- /data/data/####/spinner_11.dat
- /data/data/####/spinner_12.dat
- /data/data/####/spinner_13.dat
- /data/data/####/spinner_14.dat
- /data/data/####/spinner_15.dat
- /data/data/####/spinner_16.dat
- /data/data/####/spinner_17.dat
- /data/data/####/spinner_18.dat
- /data/data/####/spinner_19.dat
- /data/data/####/spinner_20.dat
- /data/data/####/spinner_21.dat
- /data/data/####/spinner_22.dat
- /data/data/####/spinner_23.dat
- /data/data/####/spinner_24.dat
- /data/data/####/spinner_25.dat
- /data/data/####/spinner_26.dat
- /data/data/####/spinner_27.dat
- /data/data/####/spinner_28.dat
- /data/data/####/spinner_29.dat
- /data/data/####/spinner_30.dat
- /data/data/####/spinner_31.dat
- /data/data/####/spinner_32.dat
- /data/data/####/spinner_33.dat
- /data/data/####/spinner_34.dat
- /data/data/####/spinner_35.dat
- /data/data/####/spinner_36.dat
- /data/data/####/spinner_37.dat
- /data/data/####/spinner_38.dat
- /data/data/####/spinner_39.dat
- /data/data/####/spinner_40.dat
- /data/data/####/spot1755381660
- /data/data/####/spot1755381660.jar
- /data/data/####/spot1755381660.xml
- /data/data/####/spot_app_data.xml
- /data/data/####/spot_clientprofile.xml
- /data/data/####/sprite-1859533316
- /data/data/####/sprite-1859533316.jar
- /data/data/####/sprite-1859533316.xml
- /data/data/####/start1.dat
- /data/data/####/start10.dat
- /data/data/####/start11.dat
- /data/data/####/start12.dat
- /data/data/####/start13.dat
- /data/data/####/start14.dat
- /data/data/####/start15.dat
- /data/data/####/start2.dat
- /data/data/####/start3.dat
- /data/data/####/start4.dat
- /data/data/####/start5.dat
- /data/data/####/start6.dat
- /data/data/####/start7.dat
- /data/data/####/start8.dat
- /data/data/####/start9.dat
- /data/data/####/wash1.dat
- /data/data/####/wash2.dat
- /data/data/####/wash3.dat
- /data/data/####/wash4.dat
- /data/data/####/wash5.dat
- /data/data/####/wash6.dat
- /data/data/####/wash7.dat
- /data/data/####/wash8.dat
- /data/data/####/wash9.dat
- /data/data/####/wave1.dat
- /data/data/####/wave2.dat
- /data/media/####/.id
- /data/media/####/.mii
- /data/media/####/9_2886
- /data/media/####/AppPackage.dat
- /data/media/####/CacheTime.dat
- /data/media/####/KI.DAT
- /data/media/####/UnPackage.dat
- /data/media/####/asct.dat
- /data/media/####/close
- /data/media/####/clst.dat
- /data/media/####/pkgn.dat
- /data/media/####/spot.dat
Другие:
Запускает следующие shell-скрипты:
- <Package> <Package> -1830503400 0 /data/app/<Package>-1.apk 41 <Package> 47 48
- chmod 604 <Package Folder>/cache/SpotPlugin/spot1755381660
- chmod 604 <Package Folder>/cache/SpotPlugin/spot1755381660.jar
- chmod 604 <Package Folder>/cache/SpritePlugin/sprite-1859533316
- chmod 604 <Package Folder>/cache/SpritePlugin/sprite-1859533316.jar
- chmod 705 <Package Folder>/cache/SpotPlugin
- chmod 755 <Package Folder>/.cache/<Package>
Загружает динамические библиотеки:
- secexe
Использует следующие алгоритмы для шифрования данных:
- DES
Использует следующие алгоритмы для расшифровки данных:
- DES
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
