Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.155.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) t####.m####.com:80
- TCP(HTTP/1.1) reso####.msg.xi####.net:80
- TCP(HTTP/1.1) c####.meme####.com:80
- TCP(HTTP/1.1) gl####.w.kunl####.####.com:80
- TCP(HTTP/1.1) api.meme####.com:80
- TCP(HTTP/1.1) zt-adfi####.oss-cn-####.aliy####.com:80
- TCP(HTTP/1.1) www.m####.com:80
- TCP(HTTP/1.1) r####.uu.qq.com:80
- TCP(TLS/1.0) gl####.w.kunl####.####.com:443
- TCP(TLS/1.0) regi####.xm####.xi####.com:443
- TCP 4####.62.94.2:443
Запросы DNS:
- api.meme####.com
- c####.meme####.com
- img.safetys####.mobi
- img.su####.com
- r####.uu.qq.com
- regi####.xm####.xi####.com
- reso####.msg.xi####.net
- t####.m####.com
- ws.meme####.com
- www.m####.com
- zt-adfi####.oss-cn-####.aliy####.com
Запросы HTTP GET:
- api.meme####.com/activity/packet_list
- api.meme####.com/app/index
- api.meme####.com/properties/list
- api.meme####.com/public/blackword_list/0
- api.meme####.com/public/blackword_list/1
- api.meme####.com/public/inform?size=####&type=####
- api.meme####.com/public/poster/2
- api.meme####.com/public/room_list?page=####&live=####&size=####&sort=####
- api.meme####.com/public/t_hex
- api.meme####.com/show/bell_gift_list
- api.meme####.com/show/cars_list
- api.meme####.com/show/gift_list
- api.meme####.com/zone/mission_num
- gl####.w.kunl####.####.com/11/3/1493376936139.jpg
- gl####.w.kunl####.####.com/12/4/1404114730316.jpg
- gl####.w.kunl####.####.com/12/4/1438840897548.jpg
- gl####.w.kunl####.####.com/13/5/1461739023373.jpg
- gl####.w.kunl####.####.com/13/5/1492522388813.jpg
- gl####.w.kunl####.####.com/18/2/1433988334482.jpg
- gl####.w.kunl####.####.com/20/4/1433988048788.jpg
- gl####.w.kunl####.####.com/20/4/1441537079572.jpg
- gl####.w.kunl####.####.com/20/4/1492536061844.jpg
- gl####.w.kunl####.####.com/21/5/1441591456725.jpg
- gl####.w.kunl####.####.com/21/5/1492523049237.jpg
- gl####.w.kunl####.####.com/22/6/1415844433046.jpg
- gl####.w.kunl####.####.com/23/7/1436780351255.jpg
- gl####.w.kunl####.####.com/25/1/1493376825241.jpg
- gl####.w.kunl####.####.com/27/3/1408010576603.jpg
- gl####.w.kunl####.####.com/27/3/1493376962459.jpg
- gl####.w.kunl####.####.com/28/4/1464341461148.jpg
- gl####.w.kunl####.####.com/3/3/1438841119811.jpg
- gl####.w.kunl####.####.com/32/0/1418008953056.jpg
- gl####.w.kunl####.####.com/34/2/1404113259106.jpg
- gl####.w.kunl####.####.com/35/3/1490841105507.jpg
- gl####.w.kunl####.####.com/35/3/1492534807267.jpg
- gl####.w.kunl####.####.com/36/4/1404114408036.jpg
- gl####.w.kunl####.####.com/36/4/1478766324580.jpg
- gl####.w.kunl####.####.com/36/4/1493376841764.jpg
- gl####.w.kunl####.####.com/37/5/1486453235941.jpg
- gl####.w.kunl####.####.com/38/6/1485166714022.jpg
- gl####.w.kunl####.####.com/38/6/1492522828390.jpg
- gl####.w.kunl####.####.com/39/7/1419299642151.jpg
- gl####.w.kunl####.####.com/41/1/1492522470441.jpg
- gl####.w.kunl####.####.com/42/2/1404113474090.jpg
- gl####.w.kunl####.####.com/42/2/1492522519786.jpg
- gl####.w.kunl####.####.com/44/4/1492522983532.jpg
- gl####.w.kunl####.####.com/44/4/1493376914860.jpg
- gl####.w.kunl####.####.com/45/5/1493376975533.jpg
- gl####.w.kunl####.####.com/47/7/1446715722479.jpg
- gl####.w.kunl####.####.com/48/0/1442456402160.jpg
- gl####.w.kunl####.####.com/49/1/1441792300401.jpg
- gl####.w.kunl####.####.com/5/5/1493376857477.jpg
- gl####.w.kunl####.####.com/53/5/1404113732021.jpg
- gl####.w.kunl####.####.com/55/7/1443428879607.jpg
- gl####.w.kunl####.####.com/57/1/1404112909497.jpg
- gl####.w.kunl####.####.com/58/2/1441959947962.jpg
- gl####.w.kunl####.####.com/6/6/1427767548934.jpg
- gl####.w.kunl####.####.com/6/6/1432694554502.jpg
- gl####.w.kunl####.####.com/60/4/1438829246268.jpg
- gl####.w.kunl####.####.com/63/7/1443428799487.jpg
- gl####.w.kunl####.####.com/9/1/1422624662729.jpg
- reso####.msg.xi####.net/gslb/?ver=3.0&type=wap&conpt=dvidpodv >>4>>4>>4...
- t####.m####.com/tools/GetSearchKeyList.aspx?pagesize=####
- t####.m####.com/tools/getcity.aspx
- www.m####.com/Tools/GetWeather.aspx?mobile=####&city=####&info=YW####&sy...
- www.m####.com/Tools/GetWeather.aspx?try=####&mobile=####&city=####&info=...
- zt-adfi####.oss-cn-####.aliy####.com/1512/rt/gx.bin
Запросы HTTP POST:
- c####.meme####.com/web/index.php?/ums/po####
- r####.uu.qq.com/rqd/sync
- t####.m####.com/tools/GetVersionEx.aspx
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.engine.apk
- /data/data/####/.key.apk
- /data/data/####/AllRoomList
- /data/data/####/BANNER
- /data/data/####/BELL_GIFT_LIST
- /data/data/####/CHEST_GIFT_LIST
- /data/data/####/CobubRazor_SharedPref.xml
- /data/data/####/GIFT_LIST
- /data/data/####/KEY_WORD
- /data/data/####/MISSION_COUNT
- /data/data/####/MOUNT_MALL
- /data/data/####/PLAZA_DATA
- /data/data/####/PROPERTIES_LIST
- /data/data/####/RECHARGE_AWARD
- /data/data/####/RED_PACKET_LIST
- /data/data/####/SENSITIVE_WORD
- /data/data/####/XMPushServiceConfig.xml
- /data/data/####/android_pre.xml
- /data/data/####/bugly_db_-journal
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cobub.cache
- /data/data/####/com.mobilewindow;pushservice
- /data/data/####/com.mobilewindow_preferences.xml
- /data/data/####/commobilewindow
- /data/data/####/config.xml
- /data/data/####/flag
- /data/data/####/gx
- /data/data/####/last_cache_time
- /data/data/####/launcher.db-journal
- /data/data/####/launcher.preferences
- /data/data/####/libcrypt.so
- /data/data/####/libloader.so
- /data/data/####/mipush.xml
- /data/data/####/mipush_account.xml
- /data/data/####/mipush_extra.xml
- /data/data/####/mobclick_agent_cached_com.mobilewindow20160818
- /data/data/####/shell_pre.xml
- /data/data/####/show.db-journal
- /data/data/####/temp.jar
- /data/data/####/umeng_general_config.xml
- /data/data/####/updateVersion2.xml
- /data/media/####/.commobilewindow
- /data/media/####/.nomedia
- /data/media/####/003a63ac35a4abb2682006c425301d29.tmp
- /data/media/####/0917fc2ee5214b7f3e391c2e86c42d4d.tmp
- /data/media/####/0ccb5114363c1aaff0eae438830d8e41.tmp
- /data/media/####/0cf7eb48e5a21c45c4ad8dddd2cebb4b.tmp
- /data/media/####/0e579c1f83862120111ec7d9936be902.tmp
- /data/media/####/122d6ea5d8802acdbf8cde8c6bd0101d.tmp
- /data/media/####/128411de7293bbaf25fd1e2eeb22e09b.tmp
- /data/media/####/180cd43f832265830158df87b77d7cca.tmp
- /data/media/####/1dc7a0c51b797e0dea56e1a0b734cd3e.tmp
- /data/media/####/20b0b26a0dd17c5064d2bf33cf383712.tmp
- /data/media/####/308a0c0486e05b5d8a973d7cacc588e7.tmp
- /data/media/####/31f041e722aa7393593fe5aff1c469be.tmp
- /data/media/####/33d519f1215a99a875903b1fd59c4813.tmp
- /data/media/####/44b4a13839bc2f8462c3a0f57557495f.tmp
- /data/media/####/499f9e322cfaf69bdcc7f0f06d9517c6.tmp
- /data/media/####/4c56e1dad7e1f82ca93de1aaf3e66881.tmp
- /data/media/####/4z4r14v6slgi8q06wv2wcz9ff
- /data/media/####/4z4r14v6slgi8q06wv2wcz9ff.tmp
- /data/media/####/53d94704583f9063c57fceed7e21677a.tmp
- /data/media/####/5f8f25df732bc987633840d815b82069.tmp
- /data/media/####/5qxjq8oqxux2ygdhl740fhq9
- /data/media/####/5qxjq8oqxux2ygdhl740fhq9.tmp
- /data/media/####/644a4900d34be0eae092875fdfdb7097.tmp
- /data/media/####/68cd67bc014b1a54833bfe65d5545cbc.tmp
- /data/media/####/6a019540417a59b840209d1230184833.tmp
- /data/media/####/6d8c1054bc7563b7f4c0581e522803d9.tmp
- /data/media/####/6de519f204d879d284de5d86a477802a.tmp
- /data/media/####/6e2535ea7770752a1ece767978de1eee.tmp
- /data/media/####/72662756908852a94eb40822a8630247.tmp
- /data/media/####/75ee156057572a33ab32fe53d414bb37.tmp
- /data/media/####/7670a6b9fe7c6b592de28d37daacadb5.tmp
- /data/media/####/7ae482dd76ed0849bea93a88216e1ef9.tmp
- /data/media/####/7ee0bd8f0911d5964fc742be3c06d03c.tmp
- /data/media/####/7f88bf23ed2553374459b7e85b6b77d2.tmp
- /data/media/####/85978a1c842df644fe48ad56c5000226.tmp
- /data/media/####/860b9a3c411f5d53aee22e2fa20b80d1.tmp
- /data/media/####/8bc566d199a31aec9316c275a3468ca9.tmp
- /data/media/####/8e68c566023d4a89d10da48519751319.tmp
- /data/media/####/97dd6d8c02250ce39684e659d1af4931.tmp
- /data/media/####/99675d541f64ff97d2451074ba7e1e3c.tmp
- /data/media/####/a7d722cc15e9a3cecdb9bca6ff732cc4.tmp
- /data/media/####/ac95960639dbe65e89f6121d79179673.tmp
- /data/media/####/adeaebab2c8faf6e568bb2face23474d.tmp
- /data/media/####/aeacda196cc9caad6b64506faefd627b.tmp
- /data/media/####/b26ebc9544eeeec66da58301450179c8.tmp
- /data/media/####/c1c5b67911ebe81179e65bffee0f2f7d.tmp
- /data/media/####/c59729abfd0fa91306d3fb689aa823b8.tmp
- /data/media/####/c5d9bc25f1f261420a5213488061da3c.tmp
- /data/media/####/d74a304329bef98ecdc396c96ebbaa40.tmp
- /data/media/####/ee27e2c1c682ed0601bc63795ea64698.tmp
- /data/media/####/f19231c964ca8f5cb43a5b9b9890df92.tmp
- /data/media/####/f4417f577ebe2a57529b8c801d63706e.tmp
- /data/media/####/sys_nicholas.txt
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.board.platform
- cat /proc/version
- cat /sys/class/net/wlan0/address
- chmod 777 <Package Folder>/files/gxTmp
- chmod 777 <Package Folder>/files/gxTmp/gx
- getprop ro.board.platform
Загружает динамические библиотеки:
- Bugly
- crypt
- libloader
- msc
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
- DES
- DES-CBC-PKCS5Padding
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Получает информацию о телефонных контактах.
