Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.MyFolder.1.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) up####.sdk.jig####.cn:80
- TCP(HTTP/1.1) 1####.62.66.244:8030
- TCP(HTTP/1.1) informa####.mk####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(SSL/3.0) ali-s####.j####.cn:443
- TCP(SSL/3.0) lo####.x####.tech:443
- TCP(TLS/1.0) co####.x####.tech:6443
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) lo####.x####.tech:443
- TCP(TLS/1.0) is.sn####.com:443
- TCP(TLS/1.0) ali-s####.j####.cn:443
- TCP(TLS/1.0) informa####.mk####.com:443
- TCP(TLS/1.0) t####.j####.cn:443
- UDP s.j####.cn:19000
- TCP 1####.121.49.102:7006
Запросы DNS:
- ali-s####.j####.cn
- and####.b####.qq.com
- b####.mk####.com
- c####.mk####.com
- co####.x####.tech
- informa####.mk####.com
- is.sn####.com
- lo####.x####.tech
- log.u####.com
- me####.mk####.com
- oss.mk####.com
- plb####.u####.com
- recom####.mk####.com
- s.j####.cn
- t####.j####.cn
- u####.u####.com
- up####.sdk.jig####.cn
Запросы HTTP GET:
- informa####.mk####.com/comic/cover/20180330/5abdb5adaac23-640x359.!banne...
- informa####.mk####.com/comic/cover/20180410/5acc1a580c717-730x973.!cover...
- informa####.mk####.com/comic/cover/20180412/5acebcc67f6f0-600x800.!cover...
- informa####.mk####.com/comic/cover/20180717/5b4daa39725af-711x400.jpg!ba...
- informa####.mk####.com/comic/cover/20180723/5b5591aa98e0e-711x400.png!ba...
- informa####.mk####.com/comic/cover/20180724/5b56948537a4b-600x800.jpg!co...
- informa####.mk####.com/comic/cover/20180810/5b6d3d35a362c-799x449.jpg!ba...
- informa####.mk####.com/comic/cover/20180813/5b711bc08dbdc-711x400.jpg!co...
- informa####.mk####.com/comic/cover/20180817/5b76248a0e889-600x800.jpg!co...
- informa####.mk####.com/comic/cover/20181101/5bda73de78ebf-600x800.jpg!co...
- informa####.mk####.com/comic/cover/20181101/5bdac6bbdfa72-600x799.jpg!co...
- informa####.mk####.com/comic/cover/20181120/5bf39dc1478c0-600x800.jpg!co...
- informa####.mk####.com/comic/cover/20181203/5c04eb6581eee-711x400.jpg!co...
- informa####.mk####.com/comic/cover/20181205/5c073e2493799-750x999.jpg!co...
- informa####.mk####.com/comic/cover/20181207/5c0a418624f8d-750x999.jpg!co...
- informa####.mk####.com/comic/cover/20181210/5c0e324da5752-750x999.jpg!co...
- informa####.mk####.com/comic/cover/20190107/5c32c57dc510b-711x400.jpg!co...
- informa####.mk####.com/comic/cover/20190108/5c34993d08c7d-711x400.jpg!ba...
- informa####.mk####.com/comic/cover/20190108/5c34993edc5bd-711x400.jpg!ba...
- informa####.mk####.com/comic/cover/20190109/5c35ec3ade326-711x400.jpg!ba...
- informa####.mk####.com/comic/cover/20190110/5c36e4fd1e6ac-700x394.jpg!ba...
- informa####.mk####.com/comic/cover/20190110/5c36f0fd8884e-711x400.jpg!ba...
- informa####.mk####.com/image/20180714/5b499e20e26d7-1080x288.png!banner-...
- informa####.mk####.com/image/20181022/5bcde22e55a32-749x422.jpg!cover-40...
- informa####.mk####.com/image/20190110/5c36ac324e537-750x500.jpg!banner-6...
- informa####.mk####.com/image/20190110/5c36ac540bd75-750x500.jpg!banner-6...
- informa####.mk####.com/image/20190110/5c36aca81a7ec-750x500.jpg!banner-6...
- informa####.mk####.com/image/20190110/5c36adf5d7ff8-750x280.jpg!banner-6...
- informa####.mk####.com/image/20190110/5c36ba3b13b57-750x422.jpg!banner-6...
- informa####.mk####.com/image/20190110/5c36ba68aa06d-750x422.jpg!banner-6...
- informa####.mk####.com/image/20190110/5c36ba873818f-750x422.jpg!banner-6...
- informa####.mk####.com/image/20190110/5c36bb1dba2d2-1080x1632.jpg!banner...
- informa####.mk####.com/image/20190110/5c36bbb1d19ce-1080x1632.jpg!banner...
- informa####.mk####.com/image/20190110/5c36bbce36888-1080x1632.jpg!banner...
- informa####.mk####.com/image/20190110/5c36bbfbe4dc3-1080x1632.jpg!banner...
- informa####.mk####.com/image/20190110/5c36bcd170b54-1080x1632.jpg!banner...
Запросы HTTP POST:
- and####.b####.qq.com/rqd/async?aid=####
- up####.sdk.jig####.cn/v1/push/sdk/postlist
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/0
- /data/data/####/1
- /data/data/####/1002
- /data/data/####/1004
- /data/data/####/109094dfa12e00971f4d7a3191f22a05.0.tmp
- /data/data/####/109094dfa12e00971f4d7a3191f22a05.1.tmp
- /data/data/####/113275945422003ae2a8cbcd191f2355.0.tmp
- /data/data/####/113275945422003ae2a8cbcd191f2355.1.tmp
- /data/data/####/182ced17e821c7f8f1521056d259b031.0.tmp
- /data/data/####/182ced17e821c7f8f1521056d259b031.1.tmp
- /data/data/####/2
- /data/data/####/251cf56c40679a895a6c1d8440822765.0.tmp
- /data/data/####/251cf56c40679a895a6c1d8440822765.1.tmp
- /data/data/####/3
- /data/data/####/3ee7d3df462c61a82dbd60a8a46cf235.0.tmp
- /data/data/####/3ee7d3df462c61a82dbd60a8a46cf235.1.tmp
- /data/data/####/4
- /data/data/####/4f039860b7bb0dc08755e46fdca1181a.0.tmp
- /data/data/####/4f039860b7bb0dc08755e46fdca1181a.1.tmp
- /data/data/####/5190123cb7955a64a73b49a3b3fecac3.0.tmp
- /data/data/####/5190123cb7955a64a73b49a3b3fecac3.1.tmp
- /data/data/####/53222bd4bfe87924d554fbb821f8c8d2.0.tmp
- /data/data/####/53222bd4bfe87924d554fbb821f8c8d2.1.tmp
- /data/data/####/5326310f-b1a4-4985-88d1-6111ccc97704
- /data/data/####/5ab1d41bd792e997c2d387d381f0b1c6.0.tmp
- /data/data/####/5ab1d41bd792e997c2d387d381f0b1c6.1.tmp
- /data/data/####/5b9342d1b5810a5b043fcf63266fc494.0.tmp
- /data/data/####/5b9342d1b5810a5b043fcf63266fc494.1.tmp
- /data/data/####/65c29c06499e272c4e94c80cbab3e10f.0.tmp
- /data/data/####/65c29c06499e272c4e94c80cbab3e10f.1.tmp
- /data/data/####/66346163be3a31a9db5c227d8aff68cb.0.tmp
- /data/data/####/66346163be3a31a9db5c227d8aff68cb.1.tmp
- /data/data/####/7266968a5b6da02f385543f45996221d.0.tmp
- /data/data/####/7266968a5b6da02f385543f45996221d.1.tmp
- /data/data/####/8be5f39e-3131-4c35-b47e-c1400814c060
- /data/data/####/9acd14d5f784983fbd51a4af571933a1.0.tmp
- /data/data/####/9acd14d5f784983fbd51a4af571933a1.1.tmp
- /data/data/####/Alvin2.xml
- /data/data/####/BUGLY_COMMON_VALUES.xml
- /data/data/####/ContextData.xml
- /data/data/####/JPushSA_Config.xml
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/a==7.4.4&&9.2.5.3_1547118858192_envelope.log
- /data/data/####/ab82a872093d1f14af8fb9cef5cfec28.0.tmp
- /data/data/####/ab82a872093d1f14af8fb9cef5cfec28.1.tmp
- /data/data/####/appPackageNames_v2
- /data/data/####/b46524e7-c188-452f-a91b-1555a16c7b9f
- /data/data/####/b9fbe5af03bdc5fa6ba3c93d7a9bce7d.0.tmp
- /data/data/####/b9fbe5af03bdc5fa6ba3c93d7a9bce7d.1.tmp
- /data/data/####/be69acee36024b34d5e75e7d8c68370d.0.tmp
- /data/data/####/be69acee36024b34d5e75e7d8c68370d.1.tmp
- /data/data/####/bugly_db_-journal
- /data/data/####/c3e8913f84cc3dd58cfd691ef8c8b52e.0.tmp
- /data/data/####/c3e8913f84cc3dd58cfd691ef8c8b52e.1.tmp
- /data/data/####/c4988c4e467497453d404048df85d411.0.tmp
- /data/data/####/c4988c4e467497453d404048df85d411.1.tmp
- /data/data/####/c85845caca5ddea35d8d55b72e9345c3.0.tmp
- /data/data/####/c85845caca5ddea35d8d55b72e9345c3.1.tmp
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.rid.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/cnzz.xml
- /data/data/####/com.sensorsdata.analytics.android.sdk.SensorsDataAPI.xml
- /data/data/####/com.xmtj.mkz.BETA_VALUES.xml
- /data/data/####/crashrecord.xml
- /data/data/####/d3949453-c18a-4249-86bb-cdd83b517871
- /data/data/####/d7a95a95-18f2-4073-bbc9-f0e34555bfce
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTQ3MTE4ODU0MDgz;
- /data/data/####/dW1weF9zaGFyZV8xNTQ3MTE4ODU4ODEx;
- /data/data/####/dW1weF9zaGFyZV8xNTQ3MTE4ODU4ODQ2;
- /data/data/####/downloader.db-journal
- /data/data/####/dso_deps
- /data/data/####/dso_lock
- /data/data/####/dso_manifest
- /data/data/####/dso_state
- /data/data/####/e6d915f8-947b-49fe-b46d-f1e23a2cdf79
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/ff68c8c2-155a-4844-af76-4497f7766583
- /data/data/####/i==1.2.0&&9.2.5.3_1547118856018_envelope.log
- /data/data/####/info.xml
- /data/data/####/journal.tmp
- /data/data/####/jpush_device_info.xml
- /data/data/####/jpush_stat_cache.json
- /data/data/####/jpush_stat_cache_history.json
- /data/data/####/jpush_statistics.db
- /data/data/####/jpush_statistics.db-journal
- /data/data/####/jpush_statistics.db-shm (deleted)
- /data/data/####/jpush_statistics.db-wal
- /data/data/####/libjiagu-1129334500.so
- /data/data/####/local_crash_lock
- /data/data/####/logo
- /data/data/####/mkz-db-journal
- /data/data/####/mkz.xml
- /data/data/####/multidex.version.xml
- /data/data/####/native_record_lock
- /data/data/####/security_info
- /data/data/####/sensorsdata-journal
- /data/data/####/sensorsdata.xml
- /data/data/####/share.db-journal
- /data/data/####/start_advert
- /data/data/####/tt_sdk_settings.xml
- /data/data/####/ttopenadsdk.xml
- /data/data/####/ttopensdk.db-journal
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/umdat.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_common_location.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_socialize.xml
- /data/data/####/xmtj_sp_data.xml
- /data/media/####/.a.dat
- /data/media/####/.adfwe.dat
- /data/media/####/.cca.dat
- /data/media/####/.push_deviceid
- /data/media/####/.umm.dat
- /data/media/####/0559db7768b9650577a9bbe6162371508fa3addd6a8f5f....0.tmp
- /data/media/####/1036b7b3b0da32e9f1a881360ab8215b02d6451eff58b8....0.tmp
- /data/media/####/17f36347275ff21b84e623fad3482279b6e3f62390a7c1....0.tmp
- /data/media/####/19a22b1f7bb170c9061a6c599329b4a9ed6bd2b1299f05....0.tmp
- /data/media/####/1c04b274696c234ce25073fcd9dafa796177eb788bc2c5....0.tmp
- /data/media/####/201c39bd27ef109389d503a54e6d361c420da61f6349e9....0.tmp
- /data/media/####/2ef08dba78d7503156e5b6165fd67999ec3c42ce839dde....0.tmp
- /data/media/####/369777dba6f2b39dc19314402fafbd0d3a2bfbed6c8052....0.tmp
- /data/media/####/480e7d2fa28522107ec09b089db319b881a3fe23442b7c....0.tmp
- /data/media/####/5193d81d177281f01be288ff740c53350b03622334897c....0.tmp
- /data/media/####/53e4a5dad13780f7e12a5d5c797c1b4e6ea9a1cba07bcb....0.tmp
- /data/media/####/54730dde679428f106ae1222bb41e6ccb76fe839447c1f....0.tmp
- /data/media/####/57e0f3f2ff574a9e8c40b0fb78724785bb05b9b21bbf8d....0.tmp
- /data/media/####/5c496e5fe3b2b708d4ab3594ea5869fb79e2be2980c376....0.tmp
- /data/media/####/5f2ebd5da8bfe51f8643806f04a4e6c361de06492cb450....0.tmp
- /data/media/####/6113e10e966547db1227d8649ecf1bb8b2bdec4e191b88....0.tmp
- /data/media/####/6737db9155ec5716ad654a012598ff2818f13977fa55e2....0.tmp
- /data/media/####/690a90992ce7a356c2fb58f1983588132968eada54659e....0.tmp
- /data/media/####/6b3420bc93c9f28579cfa0864adfe7baf728f4c0bf0f00....0.tmp
- /data/media/####/6e8f65fd0d8942482d813982dcbe285cb959d342df0d24....0.tmp
- /data/media/####/6ef475a3784125ade7e6f94142b6de398e85b2745d914f....0.tmp
- /data/media/####/710410a39cabbe0144cb4afebd9622f2c4213b8c6a971a....0.tmp
- /data/media/####/72c39a13539639bd606b150ba79e23d6feb631ebe88908....0.tmp
- /data/media/####/75752d2a4b072542cc284582386fd22ca00536927d6d86....0.tmp
- /data/media/####/75bebfcfd4907fca61fe940f64b7890dc7e7acf175f890....0.tmp
- /data/media/####/75f3573d7ec51c7dd4166f35a6a10db9d950562a7daa33....0.tmp
- /data/media/####/789960895e01d1bc7edf06b39f66aeafad2a12f08bf69b....0.tmp
- /data/media/####/7a66ce0348cec58414ef386e0c4b01a2b31fcfb83b1cfe....0.tmp
- /data/media/####/96ee49f7c457256074647ff2a0f390c4a8c543b0650e49....0.tmp
- /data/media/####/9867f36c0c23549f44a6d104ae023119ba677330467482....0.tmp
- /data/media/####/9887faa23a09d28b202995cdc267f8e383b219d476bc03....0.tmp
- /data/media/####/9e6a9cea01e0196f9688b780d5017417c75a6ec0e6c148....0.tmp
- /data/media/####/9efba86c9c346f0676dbd7de46c38f234252c43a8c889f....0.tmp
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/a58b823c174260045ad41cfbc91ea3aa04256e053f649d....0.tmp
- /data/media/####/b24a5cf4845915f7510adc43cd67ce3690ac73cc940a9f....0.tmp
- /data/media/####/b351f17c3596c4cd1f48b01d3a1f47c8e8c3f13a2c6c85....0.tmp
- /data/media/####/b610d95c7fb7a94a687df919377365032ed46c40f5b166....0.tmp
- /data/media/####/bbbf327e16c95750d6429effeb40d591d8ed5944bd4119....0.tmp
- /data/media/####/bc6adcb8f721361e584ed6a6b98673395499ed1d6a78fc....0.tmp
- /data/media/####/ce367d52d4f76a05df9d257076b042c99c6eca99772587....0.tmp
- /data/media/####/cf30d6b61e287ebb2926b8c2c773cb988ad161597df40a....0.tmp
- /data/media/####/d1b8cd48dd760d7b0037a881b97473807738d93774d760....0.tmp
- /data/media/####/d23398d9bac7dba6560b98c58ac089d743028970fb7819....0.tmp
- /data/media/####/d727c74fb412cf379def6c1fc9608b1efbfc0d01494dc7....0.tmp
- /data/media/####/ede7cd804e057cffe476faebfb0a13c2a4e3db478c1830....0.tmp
- /data/media/####/f0f337543b44ec75b2885f9e07a482bd756b9c69b7e1a0....0.tmp
- /data/media/####/journal.tmp
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- /system/bin/sh -c getprop
- /system/bin/sh -c type su
- getprop
- getprop ro.build.version.emui
- getprop ro.letv.release.version
- getprop ro.vivo.os.build.display.id
- ls /
- ls /sys/class/thermal
- ps
Загружает динамические библиотеки:
- Bugly
- jcore123
- libimagepipeline
- libjiagu-1129334500
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-ECB-NoPadding
- AES-ECB-PKCS5Padding
- AES-GCM-NoPadding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
