Android.DownLoader.4077

Техническая информация

Вредоносные функции:

Выполняет код следующих детектируемых угроз:

Android.RemoteCode.41.origin
Android.Xiny.20
Android.Xiny.224.origin

Загружает из Интернета следующие детектируемые угрозы:

Android.Xiny.20

Осуществляет доступ к приватному интерфейсу ITelephony.

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) img.cool####.cn:80
TCP(HTTP/1.1) z####.heyc####.net:80
TCP(HTTP/1.1) z.c####.com:80
TCP(HTTP/1.1) 1####.75.90.129:80
TCP(HTTP/1.1) www.ye####.org:80
TCP(HTTP/1.1) pi####.qq.com:80
TCP(HTTP/1.1) l.bjsd####.com:80
TCP(HTTP/1.1) 47.1####.140.194:80
TCP(HTTP/1.1) and####.b####.qq.com:80
TCP(HTTP/1.1) pin####.qq.com:80
TCP(HTTP/1.1) 1####.75.115.32:80
TCP(HTTP/1.1) m####.z####.cn:80
TCP(HTTP/1.1) aexcep####.b####.qq.com:8011
TCP(HTTP/1.1) p.zcul####.net:80
TCP(HTTP/1.1) a####.u####.com:80
TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
TCP(HTTP/1.1) b####.www.ye####.org:80
UDP(NTP) 2.and####.p####.####.org:123
TCP(SSL/3.0) hunter-####.d####.com:443
TCP(SSL/3.0) a.wa####.com:443
TCP(TLS/1.0) hotfix####.oss-cn-####.aliy####.com:443
TCP(TLS/1.0) res.ad####.cn:443
TCP(TLS/1.0) fy.innot####.com:443
TCP(TLS/1.0) w####.wa####.com:443
TCP(TLS/1.0) api.nic####.cn:443
TCP(TLS/1.0) act.ad####.cn:443
TCP(TLS/1.0) z.c####.com:443
TCP(TLS/1.0) fp.ton####.net:443
TCP(TLS/1.0) fp-st####.b0.a####.com:443
TCP(TLS/1.0) en####.tuira####.com:443
TCP(TLS/1.0) yun.d####.com.cn:443
TCP(TLS/1.0) s####.ad####.cn:443
TCP(TLS/1.0) api.taoyanz####.com:443
TCP(TLS/1.0) yun.yi####.com:443
TCP(TLS/1.0) 2####.58.212.238:443
TCP(TLS/1.0) yun.tuis####.com:443
TCP(TLS/1.0) gm.mm####.com:443
TCP(TLS/1.0) c.c####.com:443
TCP(TLS/1.0) s####.tc.qq.com:443
TCP(TLS/1.0) fp.fraudme####.cn:443
TCP(TLS/1.0) aliyuns####.oss-cn-####.aliy####.com:443
TCP(TLS/1.0) aliyuno####.oss-cn-####.aliy####.com:443
TCP(TLS/1.0) img.ad####.cn:443
TCP(TLS/1.0) yun.tuit####.com.####.com:443
TCP(TLS/1.0) a.wa####.com:443
TCP(TLS/1.0) hm.b####.com:443
TCP(TLS/1.0) act.ocs####.cn:443
TCP(TLS/1.0) hunter-####.d####.com:443

Запросы DNS:

2.and####.p####.####.org
a####.b####.qq.com
a####.u####.com
a.bjsd####.com
a.wa####.com
a1.bjsd####.com
act.ad####.cn
act.ocs####.cn
acti####.yi####.com
aexcep####.b####.qq.com
aliyuno####.oss-cn-####.aliy####.com
aliyuns####.oss-cn-####.aliy####.com
and####.b####.qq.com
api.nic####.cn
api.taoyanz####.com
b####.www.ye####.org
c####.mm####.com
c.c####.com
dc.ad####.cn
en####.tuira####.com
fp.fraudme####.cn
fp.ton####.net
fy.innot####.com
hm.b####.com
hotfix####.oss-cn-####.aliy####.com
hunter-####.d####.com
img.ad####.cn
img.cool####.cn
l.bjsd####.com
m####.z####.cn
p.zcul####.net
pi####.qq.com
pin####.qq.com
r####.wx.qq.com
res.ad####.cn
s####.ad####.cn
s####.taoyanz####.com
s13.c####.com
st####.fraudme####.cn
w####.wa####.com
www.ye####.org
yun.d####.com.cn
yun.tuis####.com
yun.tuis####.com
yun.tuit####.com
yun.yi####.com
z####.heyc####.net
z5.c####.com
z7.c####.com

Запросы HTTP GET:

img.cool####.cn/201812/ww9.jar
z.c####.com/stat.htm?id=####&cnzz_eid=####

Запросы HTTP POST:

a####.u####.com/app_logs
aexcep####.b####.qq.com:8011/rqd/async
aexcep####.b####.qq.com:8012/rqd/async
and####.b####.qq.com/rqd/async
b####.www.ye####.org/i?requestId=####&g=####&ua=####
l.bjsd####.com/index.php?r=####
m####.z####.cn/s
p.zcul####.net/m/a/f
p.zcul####.net/m/a/t
pi####.qq.com/mstat/report/?index=####
pin####.qq.com/request
www.ye####.org/i?requestId=####&g=####&ua=####
z####.heyc####.net/getlist
z####.heyc####.net/xlogin

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/.imprint
/data/data/####/12765304101729668473
/data/data/####/9122910201428403491
/data/data/####/CachedGeoposition.db
/data/data/####/CachedGeoposition.db-journal
/data/data/####/FIRST_PREFERENCES_2_0_0.xml
/data/data/####/HB8TZ4.jar
/data/data/####/LEJENT_ANALYTICS1.xml
/data/data/####/W_Key.xml
/data/data/####/XinZF.xml
/data/data/####/XinZF_conf.xml
/data/data/####/XinZF_conf.xml.bak
/data/data/####/XinZFsmspay.db
/data/data/####/XinZFsmspay.db-journal
/data/data/####/a2QX7xeI.jar
/data/data/####/analytics_array.xml
/data/data/####/bugly_db_legu-journal
/data/data/####/cc.db
/data/data/####/cc.db-journal
/data/data/####/com.linkai.yiqi.mid.world.ro.xml
/data/data/####/com.linkai.yiqi_preferences.xml
/data/data/####/com_linkai_yiqi.txt
/data/data/####/config.xml
/data/data/####/data_0
/data/data/####/data_1
/data/data/####/data_2
/data/data/####/data_3
/data/data/####/downloadswc
/data/data/####/downloadswc-journal
/data/data/####/dpi
/data/data/####/exchangeIdentity.json
/data/data/####/exid.dat
/data/data/####/f_000001
/data/data/####/f_000002
/data/data/####/f_000003
/data/data/####/f_000004
/data/data/####/f_000005
/data/data/####/f_000006
/data/data/####/f_000007
/data/data/####/f_000008
/data/data/####/f_000009
/data/data/####/f_00000a
/data/data/####/f_00000b
/data/data/####/f_00000c
/data/data/####/f_00000d
/data/data/####/f_00000e
/data/data/####/f_00000f
/data/data/####/f_000010
/data/data/####/f_000011
/data/data/####/f_000012
/data/data/####/f_000013
/data/data/####/f_000014
/data/data/####/f_000015
/data/data/####/f_000016
/data/data/####/f_000017
/data/data/####/f_000018
/data/data/####/f_000019
/data/data/####/f_00001a
/data/data/####/f_00001b
/data/data/####/f_00001c
/data/data/####/f_00001d
/data/data/####/f_00001e
/data/data/####/f_00001f
/data/data/####/f_000020
/data/data/####/f_000021
/data/data/####/f_000022
/data/data/####/f_000023
/data/data/####/f_000024
/data/data/####/f_000025
/data/data/####/f_000026
/data/data/####/f_000027
/data/data/####/f_000028
/data/data/####/f_000029
/data/data/####/f_00002a
/data/data/####/f_00002b
/data/data/####/f_00002c
/data/data/####/f_00002d
/data/data/####/f_00002e
/data/data/####/gsawe.data-journal
/data/data/####/hid.db
/data/data/####/index
/data/data/####/legu_tencent_analysis.db_com.linkai.yiqi-journal
/data/data/####/legu_tencent_analysis.db_com.linkai.yiqi;dex-journal
/data/data/####/lfdsse.xml
/data/data/####/libnfix.so
/data/data/####/libshella-2.9.0.2.so
/data/data/####/libufix.so
/data/data/####/local_crash_lock
/data/data/####/mix.dex
/data/data/####/multidex.version.xml
/data/data/####/native_record_lock
/data/data/####/pri_legu_tencent_analysis.db_com.linkai.yiqi-journal
/data/data/####/pri_legu_tencent_analysis.db_com.linkai.yiqi;dex-journal
/data/data/####/security_info
/data/data/####/st.xml
/data/data/####/tfYeE7Yn.jar
/data/data/####/ua.db
/data/data/####/ua.db-journal
/data/data/####/umeng_general_config.xml
/data/data/####/umeng_it.cache
/data/data/####/v4V2mv7.jar
/data/data/####/video_storage
/data/data/####/video_storage-journal
/data/data/####/webview.db-journal
/data/data/####/webviewCookiesChromium.db-journal
/data/data/####/z.xml
/data/media/####/.mid.txt
/data/media/####/.mid.txt1000001
/data/media/####/.nid
/data/media/####/5.0ww9.jar
/data/media/####/com_linkai_yiqi.txt
/data/media/####/dex
/data/media/####/installation
/data/media/####/restime.dat
/data/media/####/versionserial

Другие:

Запускает следующие shell-скрипты:

/system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
/system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
/system/bin/sh
/system/bin/sh -c getprop ro.aa.romver
/system/bin/sh -c getprop ro.board.platform
/system/bin/sh -c getprop ro.build.fingerprint
/system/bin/sh -c getprop ro.build.nubia.rom.name
/system/bin/sh -c getprop ro.build.rom.id
/system/bin/sh -c getprop ro.build.tyd.kbstyle_version
/system/bin/sh -c getprop ro.build.version.emui
/system/bin/sh -c getprop ro.build.version.opporom
/system/bin/sh -c getprop ro.gn.gnromvernumber
/system/bin/sh -c getprop ro.lenovo.series
/system/bin/sh -c getprop ro.lewa.version
/system/bin/sh -c getprop ro.meizu.product.model
/system/bin/sh -c getprop ro.miui.ui.version.name
/system/bin/sh -c getprop ro.vivo.os.build.display.id
/system/bin/sh -c type su
cat /sys/class/android_usb/android0/idProduct
cat /sys/class/android_usb/android0/idVendor
chmod 700 <Package Folder>/tx_shell/libnfix.so
chmod 700 <Package Folder>/tx_shell/libshella-2.9.0.2.so
chmod 700 <Package Folder>/tx_shell/libufix.so
getprop
getprop ro.aa.romver
getprop ro.board.platform
getprop ro.build.fingerprint
getprop ro.build.nubia.rom.name
getprop ro.build.rom.id
getprop ro.build.tyd.kbstyle_version
getprop ro.build.version.emui
getprop ro.build.version.opporom
getprop ro.gn.gnromvernumber
getprop ro.lenovo.series
getprop ro.lewa.version
getprop ro.meizu.product.model
getprop ro.miui.ui.version.name
getprop ro.vivo.os.build.display.id
getprop ro.yunos.version
logcat -d -v threadtime
ls -l /dev
ls -l /dev/block
ls -l /dev/block/vold
ls -l /dev/bus
ls -l /dev/bus/usb
ls -l /dev/bus/usb/001
ls -l /dev/com.android.settings.daemon
ls -l /dev/cpuctl
ls -l /dev/cpuctl/apps
ls -l /dev/cpuctl/apps/bg_non_interactive
ls -l /dev/graphics
ls -l /dev/input
ls -l /dev/log
ls -l /dev/pts
ls -l /dev/snd
ls -l /dev/socket
ps

Загружает динамические библиотеки:

Bugly
MtaNativeCrash
libnfix
libshella-2.9.0.2
libufix
nfix
ufix

Использует следующие алгоритмы для шифрования данных:

AES-CBC-PKCS5Padding
AES-CBC-PKCS7Padding
AES-CFB-NoPadding
AES-GCM-NoPadding
DES-CBC-PKCS5Padding
RSA-ECB-PKCS1Padding
RSA-NONE-PKCS1PADDING

Использует следующие алгоритмы для расшифровки данных:

AES-CBC-PKCS5Padding
AES-CFB-NoPadding
AES-ECB-PKCS5Padding
AES-GCM-NoPadding
DES
DES-CBC-PKCS5Padding

Использует специальную библиотеку для скрытия исполняемого байт-кода.

Получает информацию о местоположении.

Получает информацию о сети.

Получает информацию о телефоне (номер, IMEI и т. д.).

Получает информацию об установленных приложениях.

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Парсит информацию из SMS.

Получает информацию об отправленых/принятых SMS.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней