Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.455.origin
- Android.DownLoader.675.origin
Предлагает установить сторонние приложения.
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ff.t####.com.####.com:80
- TCP(HTTP/1.1) s####.l####.fm.####.com:80
- TCP(HTTP/1.1) experi####.appa####.com:80
- TCP(HTTP/1.1) no####.bug####.com:80
- TCP(HTTP/1.1) sdk.appa####.com.####.cn:80
- TCP(HTTP/1.1) app.1####.cn:80
- TCP(HTTP/1.1) m.l####.fm.####.com:80
- TCP(HTTP/1.1) m.1####.cn:80
- TCP(HTTP/1.1) sfest####.l####.fm.####.com:80
- TCP(TLS/1.0) hm.b####.com:443
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
- TCP p2.jz####.com:7102
- TCP t1.jz####.com:7801
- TCP p2.jz####.com:7103
- TCP t1.jz####.com:7802
- TCP t1.jz####.com:7102
- TCP t1.jz####.com:7803
- TCP p2.jz####.com:7802
- TCP t1.jz####.com:7103
- TCP t1.jz####.com:7101
Запросы DNS:
- app.1####.cn
- bi####.l####.fm
- cdnim####.l####.fm
- experi####.appa####.com
- ff.t####.com
- hm.b####.com
- l####.l####.fm
- m.1####.cn
- m.l####.fm
- mst####.l####.fm
- no####.bug####.com
- p1.jz####.com
- p2.jz####.com
- p3.jz####.com
- plb####.u####.com
- s####.l####.fm
- sdk.appa####.com
- sfest####.l####.fm
- t1.jz####.com
- t2.jz####.com
- t3.jz####.com
- u####.u####.com
- www.l####.fm
Запросы HTTP GET:
- app.1####.cn/ad/boot
- app.1####.cn/ad/outer
- app.1####.cn/ad/recommend
- app.1####.cn/app
- app.1####.cn/platform
- app.1####.cn/recomm/list
- app.1####.cn/setting/version
- ff.t####.com.####.com/d/4170.jpg
- ff.t####.com.####.com/d/44y3.jpg
- ff.t####.com.####.com/d/44z0.jpg
- ff.t####.com.####.com/d/44z5.apk
- ff.t####.com.####.com/d/44z7.jpg
- ff.t####.com.####.com/d/44zx.png
- ff.t####.com.####.com/d/451h.jpg
- ff.t####.com.####.com/d/451k.jpg
- m.1####.cn/res/ad/33021791362416726.jpeg
- m.l####.fm.####.com/
- m.l####.fm.####.com/assets/images/7e999851b414e3618f538e52561987a9-favic...
- s####.l####.fm.####.com/
- s####.l####.fm.####.com/audio_cover/2016/01/15/25733797457957639_200x200...
- s####.l####.fm.####.com/audio_cover/2016/10/25/2564389947321316359_200x2...
- s####.l####.fm.####.com/audio_cover/2016/10/27/2564856977803996679_200x2...
- s####.l####.fm.####.com/audio_cover/2016/11/27/2570520465783321607_200x2...
- s####.l####.fm.####.com/audio_cover/2016/5/13/2533691645206875655_200x20...
- s####.l####.fm.####.com/audio_cover/2016/5/8/2532874824035941383_200x200...
- s####.l####.fm.####.com/audio_cover/2016/5/8/2532874918521473031_200x200...
- s####.l####.fm.####.com/audio_cover/2016/6/9/2538733520200411655_200x200...
- s####.l####.fm.####.com/audio_cover/2017/02/04/2583385979954095111_200x2...
- s####.l####.fm.####.com/audio_cover/2017/06/18/2608229818857189895_200x2...
- s####.l####.fm.####.com/audio_cover/2017/07/01/2610671136372048391_200x2...
- s####.l####.fm.####.com/audio_cover/2017/07/17/2613566435952403975_200x2...
- s####.l####.fm.####.com/audio_cover/2017/07/28/2615670066364694023_200x2...
- s####.l####.fm.####.com/audio_cover/2017/09/05/2622911299351311879_200x2...
- s####.l####.fm.####.com/audio_cover/2017/10/03/2627947382581187079_200x2...
- s####.l####.fm.####.com/audio_cover/2017/11/06/2634419632009108999_200x2...
- s####.l####.fm.####.com/audio_cover/2018/01/01/2644773256265536519_200x2...
- s####.l####.fm.####.com/audio_cover/2018/01/13/2647030959510411783_200x2...
- s####.l####.fm.####.com/audio_cover/2018/01/15/2647394356695783943_200x2...
- s####.l####.fm.####.com/audio_cover/2018/02/10/2652226596483091463_200x2...
- s####.l####.fm.####.com/audio_cover/2018/06/27/2677587829346063879_200x2...
- s####.l####.fm.####.com/audio_cover/2018/09/22/2693724712235457543_200x2...
- s####.l####.fm.####.com/audio_cover/2018/09/23/2693909423751479815_200x2...
- s####.l####.fm.####.com/audio_cover/2018/09/27/2694661251334025735_200x2...
- s####.l####.fm.####.com/audio_cover/2018/09/29/2695013571789903367_200x2...
- s####.l####.fm.####.com/audio_cover/2018/10/17/2698346691595485703_200x2...
- s####.l####.fm.####.com/audio_cover/2018/12/17/2709695299322923527_200x2...
- s####.l####.fm.####.com/festatic/plugins/adapt_rem.min.js
- s####.l####.fm.####.com/static/assets/css/index.css?1548843####
- s####.l####.fm.####.com/static/assets/fonts/action.5b1b3d2.ttf
- s####.l####.fm.####.com/static/assets/fonts/symbol.e6eb9a2.ttf
- s####.l####.fm.####.com/static/assets/images/more_bg.png
- s####.l####.fm.####.com/static/assets/js/app.min.js?1548843####
- s####.l####.fm.####.com/static/assets/js/vendor.js?1548843####
- s####.l####.fm.####.com/user/2014/12/19/16639902433361282_200x200.jpg
- sdk.appa####.com.####.cn/ab.plus.js
- sfest####.l####.fm.####.com/
- sfest####.l####.fm.####.com/static/vod-activity/payvoice/AuditionEndTone...
Запросы HTTP POST:
- app.1####.cn/point/current
- experi####.appa####.com/get_flags_async
- no####.bug####.com/
- no####.bug####.com/metrics
- s####.l####.fm.####.com/v1/postclientdata
- s####.l####.fm.####.com/v1/uploadlog
Запросы HTTP OPTIONS:
- experi####.appa####.com/get_flags_async
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-366188723-1257941271
- /data/data/####/-366188723-939871283
- /data/data/####/1533051580-1041054485
- /data/data/####/15499861743520.jar
- /data/data/####/15499861747369.jar
- /data/data/####/2799588331199708934
- /data/data/####/279958833187243908
- /data/data/####/517413695-250722021
- /data/data/####/88789277-112219531
- /data/data/####/Bugsnag.xml
- /data/data/####/Bugsnag.xml.bak
- /data/data/####/E_ID356507059351895.db
- /data/data/####/E_ID356507059351895.db-journal
- /data/data/####/UMS_session_ID_savetime.xml
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/a==7.5.4&&1.0.1_1549986247886_envelope.log
- /data/data/####/com.dsgsf.ghfhyj_preferences.xml
- /data/data/####/config.cfg
- /data/data/####/coni_io_356507059351895.xml
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTQ5OTg2MjQ3ODcz;
- /data/data/####/db_d.db
- /data/data/####/db_d.db-journal
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/i.xml
- /data/data/####/i_fac_pre356507059351895.xml
- /data/data/####/i_finfo_pre356507059351895.xml
- /data/data/####/i_fionf_pre356507059351895.xml
- /data/data/####/iac_io_356507059351895.xml
- /data/data/####/iappInfo_io_356507059351895.xml
- /data/data/####/iinfo_io_356507059351895.xml
- /data/data/####/info.xml
- /data/data/####/itrategy_io_356507059351895.xml
- /data/data/####/op.log
- /data/data/####/splase_ad.json
- /data/data/####/storage.db-journal
- /data/data/####/sub_app_file
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/ums_agent_online_setting.xml
- /data/media/####/.nomedia
- /data/media/####/4170.jpg.dat
- /data/media/####/44y3.jpg.dat
- /data/media/####/44z0.jpg.dat
- /data/media/####/44z7.jpg.dat
- /data/media/####/44zx.png.dat
- /data/media/####/451h.jpg.dat
- /data/media/####/451k.jpg.dat
- /data/media/####/674249103
- /data/media/####/g_44z5.apk.tmp
- /data/media/####/lz.ini
- /data/media/####/mobclick_agent_cached
- /data/media/####/sub_flag.f
Другие:
Запускает следующие shell-скрипты:
- ls /
- ls /sys/class/thermal
Загружает динамические библиотеки:
- native_utils
Использует следующие алгоритмы для шифрования данных:
- DES
Использует следующие алгоритмы для расшифровки данных:
- DES
Осуществляет доступ к интерфейсу камеры.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
