Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Dowgin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) v2.g####.qq.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) 2####.205.158.50:80
- TCP(HTTP/1.1) p####.tc.qq.com:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) s####.e.qq.com:80
- TCP(HTTP/1.1) c.g####.qq.com:80
- TCP(HTTP/1.1) v.g####.qq.com:80
- TCP(HTTP/1.1) mi.g####.qq.com:80
- TCP(HTTP/1.1) 3####.tc.qq.com:80
- TCP(HTTP/1.1) d.g####.qq.com:80
- TCP(HTTP/1.1) s####.tc.qq.com:80
- TCP(TLS/1.0) and####.cli####.go####.com:443
Запросы DNS:
- a####.u####.co
- a####.u####.com
- and####.cli####.go####.com
- c.g####.qq.com
- d.g####.qq.com
- dd.m####.com
- mi.g####.qq.com
- oc.u####.com
- p####.ugd####.com
- pp.m####.com
- qzones####.g####.cn
- s####.e.qq.com
- s.lb####.com
- u.lb####.com
- v.g####.qq.com
- v2.g####.qq.com
Запросы HTTP GET:
- 3####.tc.qq.com/16891/B6005DC2B2DC57A04576E9648B0C2E4F.apk?fsname=####&_...
- c.g####.qq.com/gdt_mclick.fcg?viewid=####&jtype=####&i=####&os=####&asi=...
- c.g####.qq.com/gdt_trace_a.fcg?actionid=####&targettype=####&tagetid=###...
- d.g####.qq.com/fcg-bin/gdt_appdetail.fcg?ico=####&op_appid=####
- mi.g####.qq.com/gdt_mview.fcg?posw=####&posh=####&count=####&r=####&data...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/banner.appcache
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/banner.html
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/ad_logo.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/banner_close_b...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/bannerbg02.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/bannerbg03.jpg
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/bannerbg07.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/close02.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/close03.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/download_icon....
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/download_icon_...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/gdt_logo_black...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/icon-ad.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/inter_close_lo...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/sdk_bg.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/tc-gdt-sdk-ope...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/tsa_ad_logo.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/tsa_logo.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/js-release/20151123/s...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/js-release/20170821/b...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/js/lib/require.js
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/splash.appcache
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/splash.html
- s####.tc.qq.com/gdt/0/transformer_17323148372430294961_1548993436_80.jpg...
- s####.tc.qq.com/gdt/0/transformer_2970528236333758366_1548993363_80.jpg/...
- s####.tc.qq.com/gdt/0/transformer_3766218151041371396_1549212149_80.jpg/...
- s####.tc.qq.com/ma_icon/0/icon_42256978_1548397633/256
- v.g####.qq.com/gdt_stats.fcg?viewid=####&i=####&os=####&xp=####&gap=####...
- v2.g####.qq.com/gdt_stats.fcg?viewid=####&i=####&os=####&xp=####&gap=###...
Запросы HTTP POST:
- a####.u####.com/app_logs
- oc.u####.com/v2/get_update_time
- s####.e.qq.com/activate?queueSize=####
- s####.e.qq.com/click?queueSize=####
- s####.e.qq.com/err?queueSize=####
- s####.e.qq.com/msg?queueSize=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/0D0F118670C8B353A813F47B0D1D76B5.xml
- /data/data/####/4416B92D63D00AD8.xml
- /data/data/####/A13D847EBD5ED157A813F47B0D1D76B5.xml
- /data/data/####/GDTSDK.db
- /data/data/####/GDTSDK.db-journal
- /data/data/####/co.zip
- /data/data/####/d.txt
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/e.zip
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/gdt_plugin.jar
- /data/data/####/gdt_plugin.jar.sig
- /data/data/####/index
- /data/data/####/kp_co.db-journal
- /data/data/####/mobclick_agent_online_setting_com.hwhd.hongbao.xml
- /data/data/####/n.zip
- /data/data/####/tc_co.db
- /data/data/####/tc_co.db-journal
- /data/data/####/tn.zip
- /data/data/####/um_cache_1549461059469.env
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/wcp_config_info.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.nomedia
- /data/media/####/72d5f12de6c5b55b571031e915bd4b59
- /data/media/####/ApplicationCache.db-journal
- /data/media/####/XH.txt
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/app_bin/daemon -p <Package> -s <Package>.service.BackgroundService -t 600
Загружает динамические библиотеки:
- mtlsixe
Использует следующие алгоритмы для шифрования данных:
- DES
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- DES
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
