Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.363.origin
Загружает из Интернета следующие детектируемые угрозы:
- Android.DownLoader.363.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) z.c####.com:80
- TCP(HTTP/1.1) z####.heyc####.net:80
- TCP(HTTP/1.1) a.bjsd####.com:80
- TCP(HTTP/1.1) ny.ia####.com:651
- TCP(HTTP/1.1) w####.pcon####.com.cn:80
- TCP(HTTP/1.1) php.sho####.com:80
- TCP(HTTP/1.1) d####.dd7####.com:80
- TCP(HTTP/1.1) dn.tc####.com:80
- TCP(HTTP/1.1) d.sho####.com:80
- TCP(HTTP/1.1) ny.bul####.cn:666
- TCP(TLS/1.0) aliyuno####.oss-cn-####.aliy####.com:443
Запросы DNS:
- a.bjsd####.com
- aliyuno####.oss-cn-####.aliy####.com
- d####.dd7####.com
- d.sho####.com
- dn.tc####.com
- ny.bul####.cn
- ny.ia####.com
- php.sho####.com
- w####.pcon####.com.cn
- z####.heyc####.net
- z2.c####.com
- z5.c####.com
- z7.c####.com
- z9.c####.com
Запросы HTTP GET:
- d####.dd7####.com//upload/plog/cvfd.jar
- d####.dd7####.com/upload/plog/N38de20181225.jar
- d####.dd7####.com/upload/plog/bghu.jar
- d####.dd7####.com/upload/sdk1/n38dex201811091.jar
- d####.dd7####.com/upload/sdk2/mob050129.jar
- d####.dd7####.com/upload/sdk3/SSDK_28.jar
- dn.tc####.com/dnfile/ios/image/qmyjz/wg_0218_mo.jar
- z.c####.com/stat.htm?id=####&cnzz_eid=####
Запросы HTTP POST:
- a.bjsd####.com/index.php?r=####
- d.sho####.com/index.php?r=####
- ny.bul####.cn:666/slsdk/getdata.aspx
- ny.ia####.com:651/slsdk/settings.aspx
- php.sho####.com/index.php?r=####
- w####.pcon####.com.cn/ip.jsp
- z####.heyc####.net/getlist
- z####.heyc####.net/xlogin
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/cfdsd.xml
- /data/data/####/cfdsd.xml.bak
- /data/data/####/dpi
- /data/data/####/dsddwd.xml
- /data/data/####/dsscdsw.data-journal
- /data/data/####/dzbcsa.xml
- /data/data/####/dzbcsa.xml.bak
- /data/data/####/engc.jar
- /data/data/####/hffjhas.data-journal
- /data/data/####/hid.db
- /data/data/####/nggvdd.data-journal
- /data/data/####/prdopt.xml
- /data/data/####/tmp7.xml
- /data/data/####/tmpbl.jar
- /data/data/####/webview.db-journal
- /data/media/####/.nid
- /data/media/####/N38de20181225.jar
- /data/media/####/SSDK_28.jar
- /data/media/####/bghu.jar
- /data/media/####/cvfd.jar
- /data/media/####/mob050129.jar
- /data/media/####/n38dex201811091.jar
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh
- cat /sys/class/android_usb/android0/idProduct
- cat /sys/class/android_usb/android0/idVendor
- getprop
- ls -l /dev
- ls -l /dev/block
- ls -l /dev/block/vold
- ls -l /dev/bus
- ls -l /dev/bus/usb
- ls -l /dev/bus/usb/001
- ls -l /dev/com.android.settings.daemon
- ls -l /dev/cpuctl
- ls -l /dev/cpuctl/apps
- ls -l /dev/cpuctl/apps/bg_non_interactive
- ls -l /dev/graphics
- ls -l /dev/input
- ls -l /dev/log
- ls -l /dev/pts
- ls -l /dev/snd
- ls -l /dev/socket
- ps
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- DES
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
