Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Triada.2018
- Android.Triada.248.origin
- Android.Triada.306
- Android.Triada.373.origin
- Android.Triada.375.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) rr.topjoyc####.com:9638
- TCP(HTTP/1.1) p####.tc.qq.com:80
- TCP(HTTP/1.1) w####.pcon####.com.cn:80
- TCP(HTTP/1.1) s####.e.qq.com:80
- TCP(HTTP/1.1) l.ace####.com:80
- TCP(HTTP/1.1) loc.map.b####.com:80
- TCP(HTTP/1.1) mi.g####.qq.com:80
- TCP(HTTP/1.1) cpu.b####.com:80
- TCP(HTTP/1.1) s.ace####.com:80
- TCP(TLS/1.0) w.in####.cn:443
- TCP(TLS/1.0) fex.bdst####.com:443
- TCP(TLS/1.0) hm.b####.com:443
- TCP(TLS/1.0) ssls####.jom####.com:443
- TCP(TLS/1.0) cpu.b####.com:443
- TCP(TLS/1.0) co####.in####.cn:443
- TCP(TLS/1.0) cac####.b####.com:443
Запросы DNS:
- cac####.b####.com
- co####.in####.cn
- cpu.b####.com
- fex.bdst####.com
- g####.bdst####.com
- gn.f####.pw
- gn.gogo####.top
- hm.b####.com
- i.topjoyc####.com
- i.w.in####.cn
- imgc####.qq.com
- int.d####.s####.####.cn
- l.ace####.com
- loc.map.b####.com
- mi.g####.qq.com
- qzones####.g####.cn
- rr.topjoyc####.com
- s####.e.qq.com
- s.ace####.com
- w####.pcon####.com.cn
- www.addkin####.com
Запросы HTTP GET:
- cpu.b####.com/1032/c0aa6c0d
- mi.g####.qq.com/gdt_mview.fcg?actual_width=####&count=####&r=####&templa...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/ad_logo.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/icon-ad.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/icon-close.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/inter_close_lo...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/popup_ad_car_b...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/score.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/tsa_ad_logo.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/images/tsa_logo.png
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/interstitial.appcache
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/interstitial.html
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/js-release/20170821/i...
- p####.tc.qq.com/qzone/biz/gdt/mob/sdk/v2/android01/js/lib/require.js
- p####.tc.qq.com/qzone/biz/gdt/mod/android/AndroidAllInOne/proguard/his/r...
- rr.topjoyc####.com:9638/zgapi-outservice2/ts/request?appn=####&appv=####...
- rr.topjoyc####.com:9638/zgsdk-outservice/err?uuid=####&Sdkid=####&Imei=#...
- rr.topjoyc####.com:9638/zgsdk-outservice/request?appname=####&pkgname=##...
- s.ace####.com/ando-res/m/5Rlwv1la6TsrR2g3NB13ZwiHPBL12Klc86S1ING23KedRgF...
- s.ace####.com/ando-res/m/A6EGb*Py4u1FtWQ3Rk0AdTbn3l2VkFbr8rEbwi8yQXTViCR...
Запросы HTTP POST:
- l.ace####.com/ando/v1/x/ap?app_id=####&r=####
- l.ace####.com/ando/v1/x/lv?app_id=####&r=####
- l.ace####.com/ando/x/liv?app_id=####&r=####
- loc.map.b####.com/sdk.php
- rr.topjoyc####.com:9638/zgapi-outservice2/virtualrequest
- rr.topjoyc####.com:9638/zgsdk-outservice/virtual
- s####.e.qq.com/activate
- w####.pcon####.com.cn/ip.jsp
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/1qcyYHIiPYVvuoLl.zip
- /data/data/####/2274.yaqcookie
- /data/data/####/5raDKK0Vk5xkdjMx.new
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/BIfns4bGJxzRRJO3moxdiw==
- /data/data/####/BuglySdkInfos.xml
- /data/data/####/DeviceInfo.xml
- /data/data/####/GDTSDK.db
- /data/data/####/GDTSDK.db-journal
- /data/data/####/JRealRes.apk
- /data/data/####/KeLTcJEBLimAYIQp5r3jli8la5s=
- /data/data/####/KvAcClOzEe6GJVON0qkYQQ==.new
- /data/data/####/O
- /data/data/####/VPWz6tfEyYNdBjRbhF-BDVBCkl0=.new
- /data/data/####/ZFcglf10ifg-MeiZTN97Ig==
- /data/data/####/adinfo
- /data/data/####/cfj.xml
- /data/data/####/com.im.keyValueStore.aes_key_store.xml
- /data/data/####/com.im.keyValueStore.config_store.xml
- /data/data/####/com.im.keyValueStore.sdk_version_store.xml
- /data/data/####/com.im_7.2.0.db
- /data/data/####/com.im_7.2.0.db-journal
- /data/data/####/common.xml
- /data/data/####/cs4B-LtAUvQzupI8
- /data/data/####/cs4B-LtAUvQzupI8.temp
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/database.xml
- /data/data/####/devCloudSetting.cfg
- /data/data/####/devCloudSetting.sig
- /data/data/####/dexMethod.94151578.dat
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/gdt_plugin.jar
- /data/data/####/gdt_plugin.jar.sig
- /data/data/####/gdt_plugin.tmp
- /data/data/####/gdt_plugin.tmp.sig
- /data/data/####/gdt_suid
- /data/data/####/gwkp.png
- /data/data/####/idd73cd74f-9e05-4715-a7c6-b1d9381027e3.tmp
- /data/data/####/index
- /data/data/####/kload.apk
- /data/data/####/kload.inf
- /data/data/####/libopalink.so
- /data/data/####/libopalink.so_32
- /data/data/####/libopalink.so_64
- /data/data/####/libyaqbasic.94151578.so
- /data/data/####/libyaqpro.94151578.so
- /data/data/####/opa_link.jar
- /data/data/####/qevuvw_f.zip
- /data/data/####/quaixa_f.zip
- /data/data/####/rdata_commfaodio.new
- /data/data/####/rdata_comvvtrans.new
- /data/data/####/runner_info.prop.new
- /data/data/####/ryGGJukdDz0FP2Y8zBCs9w==.new
- /data/data/####/sdkCloudSetting.cfg
- /data/data/####/sdkCloudSetting.sig
- /data/data/####/stupid
- /data/data/####/stupid.zip
- /data/data/####/tml_data_2014_22.xml
- /data/data/####/update_lc
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/yaqsdkcookie
- /data/media/####/.nomedia
- /data/media/####/.uunique.new
- /data/media/####/developkey249772b8-4c99-45c8-9743-14f50712d703.tmp
- /data/media/####/droidinfo
- /data/media/####/droidinfo-journal
- /data/media/####/id17f799ab5-5f5a-44a2-b003-1bc4f8157710.tmp
- /data/media/####/id21c199d61-5506-4724-aa12-2b25f3954ebf.tmp
- /data/media/####/pkgnamee92d2f4b-5929-4f63-ad81-dba79d2599ac.tmp
- /data/media/####/test.dat03c1d8c8-a6e6-45c7-b6cf-41d5956015ea.tmp
- /data/media/####/test.dat57149229-005e-489b-a79f-0e964869cc20.tmp
- /data/media/####/test.dat684df2f5-2512-4f97-8c21-30c744392163.tmp
- /data/media/####/test.data7f06b36-6812-4b0a-9eda-53503bcd2bc0.tmp
- /data/media/####/test.datacb539cd-39e3-4129-884f-b1cceab29338.tmp
- /data/media/####/test.datcbf25e5e-b8ec-4d7b-b493-1d3d2c34237d.tmp
- /data/media/####/uuid3d52e6724-34c2-4a95-a3b8-8c6aa0623317.tmp
Другие:
Запускает следующие shell-скрипты:
- /system/bin/.nbwayxwzt
- /system/bin/conbb od2gf04pd9
- cat /sys/class/net/wlan0/address
- getprop ro.serialno
- getprop ro.yunos.build.version
- ls -l /system/bin/su
Загружает динамические библиотеки:
- helper
- libopalink
- libyaqbasic.94151578
- libyaqpro.94151578
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS7Padding
- RSA-ECB-nopadding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS7Padding
- DES-CBC-PKCS5Padding
- RSA-ECB-PKCS1Padding
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
