Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Dowgin.14.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) yi.gi.y####.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) f####.1####.com:80
- TCP(HTTP/1.1) app.1####.com:8080
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) cd.md.c####.####.net:80
- TCP(HTTP/1.1) f####.1####.com:8080
Запросы DNS:
- a####.u####.co
- a####.u####.com
- app.1####.com
- cd.md.c####.cn
- f####.1####.com
- oc.u####.co
- oc.u####.com
- yi.gi.y####.com
Запросы HTTP GET:
- app.1####.com:8080/home/recommendList?page=####
- app.1####.com:8080/home/topAdvert
- app.1####.com:8080/mutual/update?cpId=####
- cd.md.c####.####.net/offer/20181204/201812041054103.png
- cd.md.c####.####.net/offer/20181204/201812041054759.png
- f####.1####.com/ads/55fbf704786e416992c610ec34d55b58
- f####.1####.com/logo/1d071c9ac7b54cfb80329d02aff476e2
- f####.1####.com/logo/329b9132d4fe41488de130db088bcef5
- f####.1####.com/logo/40db95ccd6614b9b88dd7dec833cff6d
- f####.1####.com/logo/4adc19a90f3a4c458dcb2ef1bca6966f
- f####.1####.com/logo/61f8c44428694c7780cc1f709f771783
- f####.1####.com/logo/6829c323448f486bae3e80b113d57386
- f####.1####.com/logo/6eeab76224c9496e97e397c76b0ff023
- f####.1####.com/logo/7cebdea332b54842b8b4f15f3ab1ffa4
- f####.1####.com/logo/9f52e829cf374772ae23920b40d9d6da
- f####.1####.com/logo/b4aac3dc90584ea0ad29644a8f9f5f11
- f####.1####.com/logo/c094e63752c2456cb6111dc79abd2a14
- f####.1####.com/logo/f66c5eb89228406ea01598555fe4083b
- f####.1####.com/thumbPic/13684e1184af4101b7298dc5128c0779
- f####.1####.com/thumbPic/2c27c2cbfc8e471796c255f7b6d3e702
- f####.1####.com/thumbPic/7f6ad8f51dfc43b6a2c4aa96aaa90ccc
- f####.1####.com/thumbPic/8ae5a800f36b47eea1cc7bb2194b5402
- f####.1####.com:8080/mutual/appRelated
- f####.1####.com:8080/mutual/comments?page=####&appId=####
- f####.1####.com:8080/mutual/picInfo?appId=####
- yi.gi.y####.com/k?a=####
Запросы HTTP POST:
- a####.u####.com/app_logs
- app.1####.com:8080/mutual/openClient
- oc.u####.com/check_config_update
- yi.gi.y####.com/g/h23
- yi.gi.y####.com/i/a/o/kd2
- yi.gi.y####.com/j/p/w/l0d
- yi.gi.y####.com/rt/zbb
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/1fb95199c.xml
- /data/data/####/49a69.xml
- /data/data/####/a6ec633.xml
- /data/data/####/downloads.db-journal
- /data/data/####/market.xml
- /data/data/####/market_download_db-journal
- /data/data/####/mobclick_agent_sealed_com.tpzvikm.hseuortly
- /data/data/####/net.wjs.cqv.cz.jar
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/webview.db-journal
- /data/media/####/.nomedia
- /data/media/####/2840raoh93ya8mtw809yd74c7
- /data/media/####/2nvon0bbe8f3t0zgg8atnuolq
- /data/media/####/3o0r24807z6zutf2fifxfhj3f
- /data/media/####/452pnb94s2tix3z8uz1uhsuy4
- /data/media/####/481efkx52lw1brlry5opa9pd4
- /data/media/####/527g5ic5wmted8onrvryw2vxi
- /data/media/####/55qqlvuns29d2gsoseref910r
- /data/media/####/56kuaxxeddk8ipk0fvjfiomj9
- /data/media/####/5bf7tcczfajmsfhnwkmhx3f0b
- /data/media/####/5y87feku8b1dvjq9otirhd429
- /data/media/####/615ru178byxdynvqu8pryzkkz
- /data/media/####/67b372
- /data/media/####/6cvydsvxzs21ulc73n77uoqmx
- /data/media/####/71m0g49oc9ugzicjzlx9l34pn
- /data/media/####/7cyq90smsh77zjhy7qistmxak
- /data/media/####/c000b6
- /data/media/####/tmvkvxmzllzdmvrl40l2pi2v
- /data/media/####/tudafzll1252an9iqr0wys9s
- /data/media/####/zvf6u6kolgvvsz84fl7fn0w4
Другие:
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DES
Использует следующие алгоритмы для расшифровки данных:
- DES
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
