Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Appsad.11.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) pl####.mob####.b####.com:80
- TCP(HTTP/1.1) u####.b####.com:80
- TCP(TLS/1.0) c####.b####.com:443
Запросы DNS:
- api.mob####.b####.com
- c####.b####.com
- pl####.mob####.b####.com
- s####.mob####.b####.com
- u####.b####.com
Запросы HTTP GET:
- u####.b####.com/setting/grobal_strategy?p=####&hp=####&l=####&c=####&pro...
Запросы HTTP POST:
- pl####.mob####.b####.com/ad_app_dex_new.php
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/007bd074a5f0a4229ead41c462cb9a23093053a7ab0df2b....0.tmp
- /data/data/####/166dd7772f9914c1d4910554aa3ca7a5f12ec94002d6366....0.tmp
- /data/data/####/175f52727b27debc6725b057990d2f1673e887a3988f4a2....0.tmp
- /data/data/####/1ab33ba0e748a91260d797aa562e0fdacd248a0d146b13e....0.tmp
- /data/data/####/24f00ecd502b65ee8392a147a8738e4c330649c5cc894ad....0.tmp
- /data/data/####/26dcc69a823ac536e686f0fe88ac0f185c206025e1cc1fa....0.tmp
- /data/data/####/2e26b9ed75c3cc0b3fc86f71c073998ee518f6d650af4ae....0.tmp
- /data/data/####/374c21f8d8e228e797e9854424b09252484fbcde7c3fac9....0.tmp
- /data/data/####/39380d680225ec426969823ac49d6af0bed6fb18911966e....0.tmp
- /data/data/####/41b6090e591bdd9421fca2bf9da27a4b19b93c4845c4e80....0.tmp
- /data/data/####/607f4be266f0b33215b199ddcae96caca46db031a78cd31....0.tmp
- /data/data/####/61685c58672e1920c96432eff5fdeb4b161a8c20331eff9....0.tmp
- /data/data/####/675f1dd70c293bed1337e096783db4840f039db0d9902b5....0.tmp
- /data/data/####/6bc1309ac9b4d47f4c4db5d34c6b1ce78c6a86e6d79744d....0.tmp
- /data/data/####/6ebb2275f36fafef1b20796e1278800c182c9aaad1860ed....0.tmp
- /data/data/####/8bb35d4a15852d9263b7f0f5bdc5e3d285825c7181b0f5e....0.tmp
- /data/data/####/9f1c5858515e235a9f759ad328c63f0703ebb49301829f3....0.tmp
- /data/data/####/AdsBusiness-data.xml
- /data/data/####/L-mbt-1551046438297-1802900301.log
- /data/data/####/L-mbt-1551046438943-2005278223.log
- /data/data/####/L-mbt-1551046448111-2077833278.log
- /data/data/####/L-mbt-1551046453099-1405237140.log
- /data/data/####/L-mbt-1551046453101-2066767346.log
- /data/data/####/L-mbt-1551046453102-613506638.log
- /data/data/####/L-mbt-1551046453743-22635800.log
- /data/data/####/L-mbt-1551046453745-630629300.log
- /data/data/####/L-mbt-1551046453746-452934430.log
- /data/data/####/L-mbt-1551046471641-1813908793.log
- /data/data/####/L-mbt-1551046488573-1189898268.log
- /data/data/####/L-mbt-1551046501811-1701775067.log
- /data/data/####/L-mbv-1551046439040-2086156905.log
- /data/data/####/L-mbv-1551046454219-1343348851.log
- /data/data/####/L-mbv-1551046499014-1966425845.log
- /data/data/####/a051af9cdbbd37f4f351ff36305f55425bdb52ae3762dfb....0.tmp
- /data/data/####/ae65b13236731b7d27012f4bed1359238dde751097f411d....0.tmp
- /data/data/####/aps.xml
- /data/data/####/apscomm.xml
- /data/data/####/batsdk_app_life.xml
- /data/data/####/batsdk_crash_switch.xml
- /data/data/####/batsdk_user_info.xml
- /data/data/####/c1d6a3832679e2c341e190c9ff80e0c005fabac6d478aba....0.tmp
- /data/data/####/c49cf4a954c05d15c6c0c518dbd02eeb53e1aa1fb2d883b....0.tmp
- /data/data/####/classes.zip
- /data/data/####/com.tool.videomanager_preferences.xml
- /data/data/####/d2e4c57a28c607431b1dbc865390e4c7474efbc6d365e90....0.tmp
- /data/data/####/d2f4cf75d8562fd3569afb39103a942dcb68084afd9f973....0.tmp
- /data/data/####/d78bb7c048c4755177223f1a0ce8b9b3b31c7d26d7fe7fe....0.tmp
- /data/data/####/daemon
- /data/data/####/dc8264064b6f97dd11edc44a0de2b02c08614ea4e3471f4....0.tmp
- /data/data/####/e485fd01d6f2d0b8f5aca7d1fcebe2b8a29653800a07b20....0.tmp
- /data/data/####/ea72c0bd0a5dc9555339a84321e7919323540c11e27e610....0.tmp
- /data/data/####/journal.tmp
- /data/data/####/video_file_founder-journal
- /data/data/####/video_manager_config.xml
- /data/media/####/.cuid
- /data/media/####/.nomedia
- /data/media/####/16r05s4mxfp81iazn1y96wahk
- /data/media/####/1cc58nbneqdnxkzqme4hxm84j
- /data/media/####/1i5ing7w73szpgd6n377ho09m
- /data/media/####/1ui6k1h54slxr8hg9h693zxsu
- /data/media/####/25jqtof3glz7qkhk09ss20l1a
- /data/media/####/2mxepud2f32v2865c6xcou97m
- /data/media/####/2rkb13vyuufay3qm7lqeyrzmx
- /data/media/####/2squisxl2161q40fcdb10rh03
- /data/media/####/39idf0v351hs7o15wgdm5ixw8
- /data/media/####/3cj6tzqi1u0ekvnb2zpk5f8mi
- /data/media/####/3qwaropuqsuhlicpsq26r9li6
- /data/media/####/40jtxzb60fdqh0hsbhvlmy3p6
- /data/media/####/431guthy0c8bt4uobprsb0f7e
- /data/media/####/46bld4e27oe2m7c9vhu2vynrd
- /data/media/####/4dds7gspasmzzubq347kzyh0t
- /data/media/####/5vaqhvc8x03xq95zuwglhcd66
- /data/media/####/63x8eo5snwu7caybcxevq3x59
- /data/media/####/6elevhczyrwsrr3yoy63j8gld
- /data/media/####/6grr7ro9wy08jl7rm5x9a1yuz
- /data/media/####/72kf7d0gwi3puhe0sq7yyn2zu
- /data/media/####/h516gn3fsj2wou7x6nmfa3k5
- /data/media/####/journal.tmp
Другие:
Запускает следующие shell-скрипты:
- chmod 700 <Package Folder>/app_bin/daemon
- mars_d -p <Package> -s <Package>.monitor.Service2 -p1r 41 -p1w 42 -p2r 43 -p2w 44
Загружает динамические библиотеки:
- daemon_api20
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-NoPadding
- DES-CBC-PKCS5Padding
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о привязанных к устройству аккаунтах (Google, Facebook и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
