Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.860.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) src.r####.com.####.com:80
- TCP(HTTP/1.1) dc.l####.com:80
- TCP(HTTP/1.1) sdk.c####.com:80
- TCP(HTTP/1.1) a####.3k7.net:80
- TCP(HTTP/1.1) v2.lye####.com:80
- TCP(HTTP/1.1) v2.80####.com:80
- TCP(HTTP/1.1) v2.zhubod####.com:80
- TCP(HTTP/1.1) api.car####.com:80
- TCP(HTTP/1.1) v2.yimohui####.com:80
- TCP(HTTP/1.1) api.hb####.com:80
- TCP(TLS/1.0) an####.l####.com:443
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
Запросы DNS:
- a####.3k7.net
- an####.l####.com
- api.car####.com
- api.hb####.com
- dc.l####.com
- plb####.u####.com
- sdk.c####.com
- src.r####.com
- u####.u####.com
- v2.80####.com
- v2.lye####.com
- v2.yimohui####.com
- v2.zhubod####.com
Запросы HTTP GET:
- a####.3k7.net/?service=####&versionCode=####
- api.car####.com/api/app/member/ver2/user/login/2/7?uuid=####&model=####&...
- api.hb####.com/api/app/video/ver2/sys/queryBannerList/2/7?plateId=####&c...
- api.hb####.com/api/app/video/ver2/user/clickPlayVideo_2_2/2/7?time=####&...
- api.hb####.com/api/app/video/ver2/video/columnNewPage/2/7?plateId=####&c...
- api.hb####.com/api/app/video/ver2/video/queryVideoInfoRank/2/7?time=####
- api.hb####.com/api/app/video/ver2/video/searchUserShouldLike/2/7?videoIn...
- api.hb####.com/api/app/video/ver2/video/searchVideoInfoDetail_v2_2/2/7?v...
- src.r####.com.####.com/kubo/dex/luomi_9.1.24.dex
- v2.80####.com/mahua/v/20190223/f427879f082ffbd1162f12e199ffc2e9_12dbb0d4...
- v2.lye####.com/mahua/m_video/m_20180925_2964/80393/202e49ed83544d4e22ee2...
- v2.yimohui####.com/mahua/3288/w0d9o4gnr8y0ghl/260.jpg
- v2.yimohui####.com/mahua/img/20190105/b5/51de749ee0a624b1f263f4c369ee11....
- v2.yimohui####.com/mahua/img/20190108/2d/2598091e5f72617ba4f3cb9e519bb9....
- v2.yimohui####.com/mahua/img/20190122/20/7f3249d775f4e7207443e0d7c0d22e....
- v2.yimohui####.com/mahua/img/20190122/be/de26fbf8d1a2b945f684b209d73a02....
- v2.yimohui####.com/mahua/img/20190125/ec/724ea7dd6476d3d2062e4f1b1e84d4....
- v2.yimohui####.com/mahua/img/20190128/0b/635190559cb8e2a7eca71994cced6b....
- v2.yimohui####.com/mahua/img/20190205/4e/d2179ee2eb8850e5ebb5c75e157635....
- v2.yimohui####.com/mahua/img/20190205/7b/04e9fc40313b2037be6f86f0a7e7fb....
- v2.yimohui####.com/mahua/img/20190205/c3/bb19cd1c2487ea43058c7b2bb8e12c....
- v2.yimohui####.com/mahua/img/20190207/4d/608fd7da8abad4bcef6a3fd8ef444b....
- v2.yimohui####.com/mahua/img/20190208/60/9bb830ebd090bee40288724bfaec54....
- v2.yimohui####.com/mahua/img/20190215/25/7fe94984ef8ee55695d5ff688a5bbb....
- v2.yimohui####.com/mahua/img/20190215/34/4d3e43adde259c87f381afbf2e2d4d....
- v2.yimohui####.com/mahua/img/20190215/55/61dfb479e9fb0b4a009e86f5c9fa29....
- v2.yimohui####.com/mahua/img/20190215/e0/a088c11916adfdfdfd16111e5c8f12....
- v2.yimohui####.com/mahua/img/20190217/4b/7bf325ba5b5bd9074bb8db3270eac5....
- v2.yimohui####.com/mahua/img/20190220/bd/1d7f43d82723e3170e4ebdb8166641....
- v2.yimohui####.com/mahua/img/20190222/14/ea65194d43044dad21c4cc4892ae0d....
- v2.yimohui####.com/mahua/img/20190222/a7/30b6084bbffbfb272e166c9298e6a7....
- v2.yimohui####.com/mahua/img/20190222/b5/96486f5bf29d9206040e29f24dab8e....
- v2.yimohui####.com/mahua/img/20190223/35/48da1cecca879a6486de5f71eb4d28....
- v2.yimohui####.com/mahua/img/20190226/a8/19afac9d1916289ec7980d4a376c71....
- v2.yimohui####.com/mahua/img/20190227/28/afda86d00713696b4d11e97ee56f1e....
- v2.yimohui####.com/mahua/img/20190227/dc/c6fc12e43d16c9c768401fde091294....
- v2.yimohui####.com/mahua/img/20190303/b4/e09ac90327805ab8e56c7fabf3ebdf....
- v2.yimohui####.com/mahua/img/20190305/26/58faef3bbed386f15368442e3bcd77....
- v2.yimohui####.com/mahua/m_img/115/ccc42b7d571d7e3a07a9d35d73bc9b47.jpg
- v2.yimohui####.com/mahua/m_img/12/6b8588c4df1d51c99f2b75117f68ab2f.jpg
- v2.yimohui####.com/mahua/m_img/22/0f04598b26f7a63a6cac6431440f3a5e.jpg
- v2.yimohui####.com/mahua/m_img/25/bd1931751ba627117f5b862aa05867fa.jpg
- v2.yimohui####.com/mahua/m_img/4/eb3fdca6d7e03b509428e3d15fa56805.jpg
- v2.yimohui####.com/mahua/m_img/8/ec83522fddbaeee27355eca9e1248f3e.jpg
- v2.yimohui####.com/mahua/m_img/80/0c49c04039b3077d41dce17e6de6ac44.jpg
- v2.yimohui####.com/mahua/m_img/87/669eadaf259a243b6b66d8f771e5810a.jpg
- v2.yimohui####.com/mahua/m_img/m_20180718_734/m_20180718_734.jpg
- v2.yimohui####.com/mahua/m_img/m_20180814_1223/m_20180814_1223.jpg
- v2.yimohui####.com/mahua/m_img/m_20180814_1232/m_20180814_1232.jpg
- v2.yimohui####.com/mahua/m_img/m_20180826_1674/m_20180826_1674.jpg
- v2.yimohui####.com/mahua/m_img/m_20180903_2011/m_20180903_2011.jpg
- v2.yimohui####.com/mahua/m_img/m_20180917_2513/m_20180917_2513.jpg
- v2.yimohui####.com/mahua/m_img/m_20180925_2964/m_20180925_2964.jpg
- v2.yimohui####.com/mahua/m_img/m_20181001_3278/m_20181001_3278.jpg
- v2.yimohui####.com/mahua/m_img/m_20181119_5540/m_20181119_5540.jpg
- v2.yimohui####.com/mahua/m_img/m_20181126_5865/m_20181126_5865.jpg
- v2.yimohui####.com/mahua/m_img/m_20181215_6770/m_20181215_6770.jpg
- v2.yimohui####.com/mahua/m_img/m_20181215_6773/m_20181215_6773.jpg
- v2.yimohui####.com/mahua/m_img/m_20190106_7915/m_20190106_7915.jpg
- v2.yimohui####.com/mahua/m_img/mahua44d/mahua44d.jpg
- v2.yimohui####.com/mahua/v/20190215/d2e9e054391655116b994e16b5d7f6ae_77c...
- v2.zhubod####.com/mahua/m_video/m_20181001_3235/159397/4c69438511c58dce8...
Запросы HTTP POST:
- dc.l####.com/adLogs/adLog
- dc.l####.com/startLog/startLog
- dc.l####.com/wLog/wLog
- sdk.c####.com/getsiteapi.php
- sdk.c####.com/versiontapi.php?v=####&type=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/01c3403b000fe90992ea5fd95d24ab38c06e07c7163340a....0.tmp
- /data/data/####/090379537818847785fda149838dc036492a0238319d1f4....0.tmp
- /data/data/####/0f1dcb20a0a91ca0893d77709c5adcfa5f3077268939d39....0.tmp
- /data/data/####/12970e3f1920062ebe9321f5b913c82785e2e25b0765543....0.tmp
- /data/data/####/12b8d6b52bd3de4b6419977f43f5d24aa3a4ba6dd956381....0.tmp
- /data/data/####/197e92e0badb5d2d325a36b4b746ca35d9c3f99f5996d01....0.tmp
- /data/data/####/232cc2b7778a59dcf27ad3c423e54ddf3191db1a603594d....0.tmp
- /data/data/####/2403e8bc6895a85716cde535be2360e7b5c1be755fdc4d2....0.tmp
- /data/data/####/28979a70dd4fdb9926d266253cfd68a15a15100b524f25c....0.tmp
- /data/data/####/2b70c04054a3db262f6ca2fa88bbb9af0833493437c63c5....0.tmp
- /data/data/####/36cc51ec0d3537aefc5f49da308dd2ea4adf6cab983a61b....0.tmp
- /data/data/####/3c1fee7197a18391b4a1b7d6901476aa73e849314fe8db8....0.tmp
- /data/data/####/4548bf69cd3bf6c333d532693a277f4e73e3ec0c5289121....0.tmp
- /data/data/####/53ea2d41ba0e91bb1336d4fe6009f4f3ae6d35095b54b41....0.tmp
- /data/data/####/56c2ce00458fbb2ec2fd40a9d2fe15777f56c4a2e18f036....0.tmp
- /data/data/####/5de0a8de6ac5d112745eaa460575a114d258d9db3902207....0.tmp
- /data/data/####/637860b7c3a0ddbd31b2dc735e636a9513d366324a795a3....0.tmp
- /data/data/####/66374d981898ae39535c4b2b60cda9d80dc8f8a112d2052....0.tmp
- /data/data/####/6b1bfe0c06b94e011a3980ca6db9e0eeedfe84a0f5e47ed....0.tmp
- /data/data/####/711987c5c1263d8dce314f5922163a75af07544b9e2debd....0.tmp
- /data/data/####/75ca6d4d7e406fd86eeaafef66a8f9d62cfa15856a3ae3b....0.tmp
- /data/data/####/7970c3d07ba1193712714f6e5c3f439a76f91a567ac38fd....0.tmp
- /data/data/####/79b965f5232e49100659cc61f7e3b6734a7357646cb2eda....0.tmp
- /data/data/####/7ed9989cdb7fc6e23505e715c06d8614a16020c36d61de7....0.tmp
- /data/data/####/7f4d1bcfeb1b757da73a0153679b5d27689288d5764055c....0.tmp
- /data/data/####/86c8b9623a6570d354679ddcf42a7fb05d08a21a3ce9f78....0.tmp
- /data/data/####/8b17d995ba69c32120a8019daffaf952a9c956e12293e61....0.tmp
- /data/data/####/9792b93f13e137e9183fe5969065e323ac94cf54d0c76a6....0.tmp
- /data/data/####/9869972edfa6f088bcc26acd208616ec752bd6f28d1b53c....0.tmp
- /data/data/####/9869972edfa6f088bcc26acd208616ec752bd6f28d1b53c...2b34.0
- /data/data/####/9c771f66436b9eac37adfdb51ad49e8caff482d1cbb580c....0.tmp
- /data/data/####/9f6898fb1f380eff9edc7130aed847793d99d7540249b9d....0.tmp
- /data/data/####/MultiDex.lock
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/a46057a7ab0cd38b120d1e6aca3badf7e8c746e776840ff....0.tmp
- /data/data/####/a551ae8701ce3873553d2964016781b7fb49991c447eb78....0.tmp
- /data/data/####/a5675ebc478a1caebc8a0bce8e0151c7822af8814ed5bd4....0.tmp
- /data/data/####/a5e398bf56bef79812a5c794175ce34bc0f5ac634e6c990....0.tmp
- /data/data/####/a96f4fa940f44acfd240448b1da0f9176d77e1f45e7aba3....0.tmp
- /data/data/####/ax_c.xml
- /data/data/####/b64d0d91735581199632fd784c05dbfad628ebcb253c300....0.tmp
- /data/data/####/c6697e738c6160cc3dd7561ffc6266045a49545ad164047....0.tmp
- /data/data/####/d9b72d078e2839d77fae921d46b9de9856e619ca508914f....0.tmp
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTUxOTE1ODQzNjEz;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTUxOTE1ODcyODQ4;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTUxOTE1ODg1Njcx;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTUxOTE1OTA1Njcw;
- /data/data/####/da85d1ec0395b9d8a45b348a385bc2dc917857ba7823adc....0.tmp
- /data/data/####/ddd14e4089773f82a66a5e707a467760a00568a8644880c....0.tmp
- /data/data/####/df5204526c417365973db368ad47bc3161d79f120cf6c09....0.tmp
- /data/data/####/df73f5b9c9eba4fb448c999c35e83a178fab4b46738573f....0.tmp
- /data/data/####/e4b3c6a36a47331df07353bd4ec846090f0994c935167b0....0.tmp
- /data/data/####/e63cb52828d06d0beed7922e5eac14a406142556fe2dad4....0.tmp
- /data/data/####/e8900975c5f3127632b58b01d59f422d30c3ff73af43a35....0.tmp
- /data/data/####/e8c695b2667132394ed778d88f75e3a9e1825f4af3464d3....0.tmp
- /data/data/####/e9e00c515fb3dfef78d1e45d9eefb7d5e5634c7648ac111....0.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f984f9f8fd50ef41d5d52b645993ca2fcddf85f209c605b....0.tmp
- /data/data/####/gg.dex
- /data/data/####/i==1.2.0&&1.1_1551915843658_envelope.log
- /data/data/####/i==1.2.0&&1.1_1551915872873_envelope.log
- /data/data/####/i==1.2.0&&1.1_1551915885687_envelope.log
- /data/data/####/i==1.2.0&&1.1_1551915905733_envelope.log
- /data/data/####/info.xml
- /data/data/####/journal.tmp
- /data/data/####/mc177.dex
- /data/data/####/mc_cache.xml
- /data/data/####/multidex.version.xml
- /data/data/####/t==8.0.0&&1.1_1551915844841_envelope.log
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/umdat.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_common_location.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/media/####/.a.dat
- /data/media/####/.adfwe.dat
- /data/media/####/.cca.dat
- /data/media/####/.umm.dat
- /data/media/####/sysid.dat
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- ls /
- ls /sys/class/thermal
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
