Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Triada.2018
- Android.Triada.452.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) v2.g####.qq.com:80
- TCP(HTTP/1.1) a####.g####.gi####.com:80
- TCP(HTTP/1.1) c####.7####.com:80
- TCP(HTTP/1.1) p####.tc.qq.com:80
- TCP(HTTP/1.1) v.g####.qq.com:80
- TCP(HTTP/1.1) s####.e.qq.com:80
- TCP(HTTP/1.1) g####.gi####.com:80
- TCP(HTTP/1.1) mi.g####.qq.com:80
- TCP(HTTP/1.1) commu####.7####.com:80
- TCP(TLS/1.0) gv1.x####.com:443
- TCP(TLS/1.0) c####.x####.com:443
- TCP(TLS/1.0) res####.a####.com:443
- TCP(TLS/1.0) 1####.217.168.238:443
Запросы DNS:
- a####.g####.gi####.com
- amap####.cn-hang####.oss####.####.com
- c####.7####.com
- c####.x####.com
- commu####.7####.com
- g####.gi####.com
- gv1.x####.com
- imgc####.qq.com
- l.ace####.com
- loc.map.b####.com
- mi.g####.qq.com
- qzones####.g####.cn
- res####.a####.com
- s####.e.qq.com
- v.g####.qq.com
- v2.g####.qq.com
Запросы HTTP GET:
- commu####.7####.com/index.php/Sdk/index/GetFunctionListV2?DeviceID=####&...
- mi.g####.qq.com/gdt_mview.fcg?posw=####&posh=####&count=####&r=####&data...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/banner.appcache
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/banner.html
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/ad_logo.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/banner_close_b...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/bannerbg02.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/bannerbg03.jpg
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/bannerbg07.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/close02.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/close03.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/download_icon....
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/download_icon_...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/gdt_logo_black...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/icon-ad.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/sdk_bg.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/tc-gdt-sdk-ope...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/tsa_ad_logo.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/tsa_logo.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/js-release/20170821/b...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/js/lib/require.js
- p####.tc.qq.com/qzone/biz/gdt/mod/android/AndroidAllInOne/proguard/his/r...
- v2.g####.qq.com/gdt_stats.fcg?viewid=####&i=####&os=####&xp=####
Запросы HTTP POST:
- a####.g####.gi####.com/Api/Local_Index/ServerConfig
- a####.g####.gi####.com/Api/Sdk_DownloadUrl/getUrl
- a####.g####.gi####.com/Api/Sdk_Drainage/getDrainageSet?jarType=####
- a####.g####.gi####.com/Api/User/realnameSingleCheck
- a####.g####.gi####.com/api/Sdk_Gift/getGameInfoByPackage
- c####.7####.com/index.php/sdk/CollectRequest?
- g####.gi####.com/Api/Local_Mygames/FilterApps
- s####.e.qq.com/activate
- v.g####.qq.com/gdt_stats.fcg
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/07XotEUjoHIRsmci6NgHIrQVpofCLQNF.new
- /data/data/####/1547543589324_2277
- /data/data/####/1547543589566_2277
- /data/data/####/1547543589741_2277
- /data/data/####/1547543592707_2277
- /data/data/####/1547543593657_2277
- /data/data/####/1547543594462_2277
- /data/data/####/1547543594462_2277 (deleted)
- /data/data/####/1547543594924_2277
- /data/data/####/1547543595771_2277
- /data/data/####/1547543596288_2277
- /data/data/####/1547543601658_2385
- /data/data/####/1547543603267_2385
- /data/data/####/1547543612835_2505
- /data/data/####/1547543615602_2505
- /data/data/####/1547543624681_2616
- /data/data/####/1547543626765_2616
- /data/data/####/1547543632973_2713
- /data/data/####/1547543635995_2713
- /data/data/####/1547543642177_2822
- /data/data/####/1547543644651_2822
- /data/data/####/1d2b904cbeadfb72ed9546111a231c85.0
- /data/data/####/2385.yaqcookie
- /data/data/####/2713.yaqcookie
- /data/data/####/2822.yaqcookie
- /data/data/####/2FzzExsQqkpTqHycqQ-p0dqSKp0VooZ2.new
- /data/data/####/381cOGgqrrOtkQx2
- /data/data/####/3ouWJoBrAY5QTNn-4YIa3Qc2Ws0=.new
- /data/data/####/68xVSX832VXVFcU5k1Qtsx8SkiVNWtS-Aa4abgXjAas=.new
- /data/data/####/ABelvKfN9gfDI_CKel3urWRynf4TXgxl.new
- /data/data/####/AhS_ZL_MFad7UnQcYd3xXg==
- /data/data/####/Amigo_Account_default.db3
- /data/data/####/Amigo_Account_default.db3-journal
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/Archimedes_p1
- /data/data/####/Archimedes_p2
- /data/data/####/Archimedes_p3
- /data/data/####/Archimedes_p4
- /data/data/####/Archimedes_p5
- /data/data/####/BiK3IVGKjyGQIJA_1woeKRPN2Fs=.new
- /data/data/####/BuglySdkInfos.xml
- /data/data/####/Em1HIqHwd2RRExlWieQxJnvxWGG4sjT_G5uI6Q==.new
- /data/data/####/FBhi0-d7dTJwylQ9RLWfj44D7QNYM8v7ISYx1w==.new
- /data/data/####/GDTSDK.db
- /data/data/####/GDTSDK.db-journal
- /data/data/####/GNAccount.xml
- /data/data/####/GycogrReyG_T2-0HLoikDTWylBvz7JCr.new
- /data/data/####/Ip0KTDzPSymsBg6Nv4yCnC--7zJCO9Ls.new
- /data/data/####/RaUEwNJKtMn8F6w3m8h6bA==
- /data/data/####/SGGkNF-Pk-C5vBe1enFqjORMQ8U=.new
- /data/data/####/T5HY2oRDHL-frk4mbu68MMNEFhU=.new
- /data/data/####/TD_app_pefercen_profile.xml
- /data/data/####/TDpref_cloudcontrol3.xml
- /data/data/####/TDpref_game.xml
- /data/data/####/TDpref_longtime.xml
- /data/data/####/TDpref_longtime3.xml
- /data/data/####/TDpref_shorttime.xml
- /data/data/####/TDpref_shorttime3.xml
- /data/data/####/TJfE6yYCKmr9T2N5x-dqGSobSZ-vvQYfJcRpIQ==.new
- /data/data/####/TQQJn_L9EgY0joY1yoZHnQ==.new
- /data/data/####/Ut6LTC8bRVI3K8qR.zip
- /data/data/####/WCwaxTaisxsfw99r5galW0DPiKcQQ83EBtETpT9RuF4=.new
- /data/data/####/Y9khJb7kKiRc7T1juiEsizD8Z68=.new
- /data/data/####/ZCn_g-oSdRbin-m4ysQY_k2qzHg=.new
- /data/data/####/__zad_uuid__
- /data/data/####/_db_zad_.xml
- /data/data/####/com.zdkj.circle.jinli.v2.playerprefs.xml
- /data/data/####/com.zdkj.circle.jinli_preferences.xml
- /data/data/####/core_info
- /data/data/####/d1be777d511e83c7c913fc3d9b53a010;account_file.xml
- /data/data/####/d734a396262fed7b7e4fa1276c05b624.0
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/debug.conf
- /data/data/####/devCloudSetting.cfg
- /data/data/####/devCloudSetting.sig
- /data/data/####/dexMethod.28020090.dat
- /data/data/####/fL3NvYAZ7H70FvwfEuh5WFdmu9o=.new
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/gT9Fh6NGmMI6b09WY1WAjk9uLs7F3C-D.new
- /data/data/####/gameGift.xml
- /data/data/####/gameInfo.xml
- /data/data/####/game_list_data.xml
- /data/data/####/game_service_pref.xml
- /data/data/####/gdt_config.cfg
- /data/data/####/gdt_plugin.dex
- /data/data/####/gdt_plugin.jar
- /data/data/####/gdt_plugin.jar.sig
- /data/data/####/gdt_plugin.tmp
- /data/data/####/gdt_plugin.tmp.sig
- /data/data/####/gdt_suid
- /data/data/####/hRO-5-xIXGCaYeec.new
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/hrBsF-h4GGpeNBLrlj2XlBey7fK4tiKh.new
- /data/data/####/index
- /data/data/####/iv
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/lUBwvgDjpYMPxvEL_H6aP-jdlFSzyOBYvEWLQY5JSLw=.new
- /data/data/####/libyaqbasic.28020090.so
- /data/data/####/libyaqpro.28020090.so
- /data/data/####/logdb.db
- /data/data/####/logdb.db-journal
- /data/data/####/nKwNfEkWAWahbrlGna1phuFXJfY=.new
- /data/data/####/pref.xml
- /data/data/####/pref.xml.bak
- /data/data/####/qh-HutZbgJjzJUsEtDAvFA==.new
- /data/data/####/rdata_comzbvumwuill.new
- /data/data/####/rnltx1feT8NZfb-s
- /data/data/####/runner_info.prop.new
- /data/data/####/rx9qSFbLR-FzlAC1_Wki-UvoKLW7ZYQ2eOYrVN5HJfI=.new
- /data/data/####/salt
- /data/data/####/sdkCloudSetting.cfg
- /data/data/####/sdkCloudSetting.sig
- /data/data/####/srykxa_f.zip
- /data/data/####/statistics.db
- /data/data/####/statistics.db-journal
- /data/data/####/t_LYaeyuy10gxKC4skLmhA==.new
- /data/data/####/tbscoreinstall.txt
- /data/data/####/tbslock.txt
- /data/data/####/tdid.xml
- /data/data/####/tempfile
- /data/data/####/update_lc
- /data/data/####/webview.db
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/yA2SSH3dT1X8kmgcB5Zxz2APA77VaAXC.new
- /data/data/####/yILmxnqgJfKDFtxOqUocHtD8D78=
- /data/data/####/yaqsdkcookie
- /data/data/####/zFm6kp89WsqUVEwXm2WfwXBPVAui1eJN1jbBJQ==_04zXMH...gQblk=
- /data/data/####/zFm6kp89WsqUVEwXm2WfwXBPVAui1eJN1jbBJQ==_04zXMH...ournal
- /data/data/####/zFm6kp89WsqUVEwXm2WfwXBPVAui1eJN1jbBJQ==_fGPglc...ournal
- /data/data/####/zFm6kp89WsqUVEwXm2WfwXBPVAui1eJN1jbBJQ==_fGPglcLcUIc6d78U
- /data/data/####/zFm6kp89WsqUVEwXm2WfwXBPVAui1eJN1jbBJQ==_ljtOt1...ournal
- /data/data/####/zFm6kp89WsqUVEwXm2WfwXBPVAui1eJN1jbBJQ==_wOy6R8...Jd7w==
- /data/data/####/zFm6kp89WsqUVEwXm2WfwXBPVAui1eJN1jbBJQ==_wOy6R8...ournal
- /data/data/####/zFm6kp89WsqUVEwXm2WfwXBPVAui1eJN1jbBJQ==_xXza18...MabQ==
- /data/data/####/zFm6kp89WsqUVEwXm2WfwXBPVAui1eJN1jbBJQ==_xXza18...ournal
- /data/data/####/zFm6kp89WsqUVEwXm2WfwXBPVAui1eJN1jbBJQ==_y5tjSz...ournal
- /data/media/####/.tcookieid
- /data/media/####/.uunique.new
- /data/media/####/1547543598660.db
- /data/media/####/1547543602547.db
- /data/media/####/1547543618257.db
- /data/media/####/1547543629259.db
- /data/media/####/1547543634289.db
- /data/media/####/1547543647126.db
- /data/media/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
- /data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
- /data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
- /data/media/####/MP8MtaBuguN9jnuSwtN1kQ==
- /data/media/####/alsn20170807.db
- /data/media/####/alsn20170807.db-journal
- /data/media/####/gntemp_gnDownloadApp_com.gionee.gspuserflag4.0.6.q.apk
- /data/media/####/r_pkDgN4OhnkSa0D
- /data/media/####/tbslog.txt
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- <Package Folder>/code-9409630/381cOGgqrrOtkQx2 -p <Package> -c com.zbvum.wuill.floss.LemonReceiver -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
- cat /sys/class/net/wlan0/address
- getprop
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.miui.ui.version.name
- getprop ro.product.cpu.abi
- getprop ro.vivo.os.version
- getprop ro.yunos.version
- sh <Package Folder>/code-9409630/381cOGgqrrOtkQx2 -p <Package> -c com.zbvum.wuill.floss.LemonReceiver -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
Загружает динамические библиотеки:
- libyaqbasic.28020090
- libyaqpro.28020090
- main
Использует следующие алгоритмы для шифрования данных:
- AES
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS7Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS7Padding
- RSA-ECB-PKCS1Padding
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
