Android.HiddenAds.1119

Техническая информация

Вредоносные функции:

Выполняет код следующих детектируемых угроз:

Android.HiddenAds.311.origin

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) a####.u####.com:80
TCP(HTTP/1.1) l####.tbs.qq.com:80
TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
TCP(HTTP/1.1) and####.b####.qq.com:80
TCP(TLS/1.0) api.map.b####.com:443
TCP(TLS/1.0) fi####.wuhu####.cn.####.cn:443
TCP(TLS/1.0) 2####.58.211.110:443
TCP(TLS/1.0) s####.j####.cn:443
TCP(TLS/1.0) j####.wuhu####.cn.####.cn:443
UDP s.j####.cn:19000
TCP 1####.121.49.99:7003

Запросы DNS:

a####.u####.com
aexcep####.b####.qq.com
and####.b####.qq.com
api.map.b####.com
fi####.wuhu####.cn
j####.wuhu####.cn
l####.tbs.qq.com
s####.j####.cn
s.j####.cn
up####.sdk.jig####.cn

Запросы HTTP POST:

a####.u####.com/app_logs
aexcep####.b####.qq.com:8012/rqd/async
and####.b####.qq.com/rqd/async
and####.b####.qq.com/rqd/async?aid=####
l####.tbs.qq.com/ajax?c=####&k=####

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/.imprint
/data/data/####/0080dff6800cfa61d6d0b2f76fcf8d2ae14eb1770fdaf00....0.tmp
/data/data/####/04c429117b9dc392de205bef023418d9b47764d36732028....0.tmp
/data/data/####/0b42eacef4f84d1aa34570b7794c267e9d01bc801f34deb....0.tmp
/data/data/####/1004
/data/data/####/121508922b9c0ea644ad970a0ebca3db045e78722b39877....0.tmp
/data/data/####/12fbeef090406817d9bb4860b8479cbaaaf9c56a2b2a4e4....0.tmp
/data/data/####/160523702dbad0336e1e3ba01aa4faa18b256891108d528....0.tmp
/data/data/####/1a5bc4847249ff064d3d5d0620a7af58dc0fd53d3b5eb77....0.tmp
/data/data/####/1a9db7054e1d088b567ba69b1afde6d0e6aad6353bca63c....0.tmp
/data/data/####/1aec0fbe6ea1323af05a50f2352bfb589d7ce923692e72f....0.tmp
/data/data/####/1c03d2d9d7d4f58b812638832a000398306c3b1a2115d65....0.tmp
/data/data/####/1da776b50989d178fac40fa8dc457d82f4059fbc3326143....0.tmp
/data/data/####/239ccb95da9dc74edcab1434abff57d7d50f21370d40ce4....0.tmp
/data/data/####/25ca7c19f2a38fdd589a272920cee3bfb911ea61dfd46a5....0.tmp
/data/data/####/2658d52da1da20c579e014dded36bb8d5eeebb18b93cf8b....0.tmp
/data/data/####/28017482f8590f1dd90b4b1cc32364e618012a22908560c....0.tmp
/data/data/####/2ab9af4699d725c596f9dc8ca6e9b74556617a7cc0a4d58....0.tmp
/data/data/####/2c5e341b88bfba60da24a2bcb3dba52ea90a71122092d21....0.tmp
/data/data/####/31bbc998aed44598b32168377dab0b557b47c532a173092....0.tmp
/data/data/####/31e5bf7bdae47291743cb7af51f6eb94d4407c3e7316159....0.tmp
/data/data/####/32dc2e5e77e2a4a112baf70bfe1a8a13c290feac8d1ed93....0.tmp
/data/data/####/352cc2e3eec01444983349089f2e0518eb8e577ac1ddfe7....0.tmp
/data/data/####/3822b52cfa57ac19f067853065d6be4f983b6b5639dbbd7....0.tmp
/data/data/####/3c51171ccdcc83f7e94e726833f4b429f5e7182b947db10....0.tmp
/data/data/####/3e71523de71d1c951951398b6cd524d972b67d47d09710c....0.tmp
/data/data/####/3f12ba5879e6ba8767d2fa036b3ff1f05823d1e0fc3a42e....0.tmp
/data/data/####/40bc54507c9c6ce26a1ad5d2cadaafe80f18ec3b6b05600....0.tmp
/data/data/####/40d2ec5482ff57b8ebd50a7331c3fee36141984e22921bb....0.tmp
/data/data/####/41886281fb781525b91714a64b84b9880ad5ebcce7c1c1c....0.tmp
/data/data/####/448b6ea08c8e7290d851c4620ce73a7d4974f0af2796d8c....0.tmp
/data/data/####/457c3974b9531c7d25868a2e0ee78be8a9ef26375ff4d12....0.tmp
/data/data/####/45cdf04d54b07d7ee1efb28d08e92d4af35b235cdcd3fe8....0.tmp
/data/data/####/45dfb32f97b3e47a1a7a611bf17797bb1af79e180ef38e7....0.tmp
/data/data/####/49beb7c71ed5d9dadc3dcf83c77202b90638346bb33083e....0.tmp
/data/data/####/4ee889d939cc2d6831a7c8ac7fde276fd6fc945318b504f....0.tmp
/data/data/####/51b2d4cd7c2e4a2318d586d37ab13e109b46127bb74d045....0.tmp
/data/data/####/525bc5a8b5ff417d48961d0ba16caad152fac5cb5e664e6....0.tmp
/data/data/####/52fc9222d0c3e5fa297b99177e558ce85c537739463fa77....0.tmp
/data/data/####/5370bcc6bcc979e7d7c36f7c37eb0fc55562656b10c35c0....0.tmp
/data/data/####/5563a5382a355bf0b971147768f991ede4c89fa72d961d7....0.tmp
/data/data/####/57595501922e77f998ef98e8accd67ca8286d77919e0314....0.tmp
/data/data/####/5786003434112ca89a9f473e1b7db00f2f32489fcb9d9be....0.tmp
/data/data/####/5922a818e5230933291e47e87a2cb74a55578c6638fb1a7....0.tmp
/data/data/####/598cf4d204ce45fddbf7ef1a3a27ddb6d219244be1dc4a0....0.tmp
/data/data/####/60a06b23d519f8c818059ef6994e1b5121036f7ef72c450....0.tmp
/data/data/####/6200ad6a854a3e11ef992dfc6dc787a4cb2008e048224b0....0.tmp
/data/data/####/628a63092f47ecfd1b38fbe67e51b48104dcca4778f0432....0.tmp
/data/data/####/62a298a33ca267f9b004c406fe2014945195e5cf4127092....0.tmp
/data/data/####/650650df94f9d1415d08d7ca5a8aec2f13e0686334a1ee6....0.tmp
/data/data/####/664596d87528a361550f8c09b9122cd6afe62d928bdf0f7....0.tmp
/data/data/####/6ade967537c24fff7fa23a614d8d95cbe9db0b7fbd36328....0.tmp
/data/data/####/6ecf5547f643daec95c75bf21c0c3cf4fdb6b67e5d8e327....0.tmp
/data/data/####/728a6ecda47b20cbb77f62ab9cab74a385a83f29e233e74....0.tmp
/data/data/####/77b91817c1a95281fb72ad5abedc5d083738fbecd953c79....0.tmp
/data/data/####/7956f9990a69815e6f34ccb9f31675c2878c7c102665037....0.tmp
/data/data/####/7a964ff0c01a8c463a26535d1f0cb73eed526502fa68b49....0.tmp
/data/data/####/7e25c474e610c60ce2f56b80ca63a3746cdee0d2b0801d2....0.tmp
/data/data/####/7e776d139a15804ba3cacba1167f09393aca3fb4ccba87c....0.tmp
/data/data/####/8263d22ed484fc95de86968d0fc35846f5c4171c4dcc238....0.tmp
/data/data/####/84386c0528032a6e0d388c49b5badc7ef853690c6c4f891....0.tmp
/data/data/####/8677ed42af75ac2ac9b8919e0e509ed4fed4c97aac50468....0.tmp
/data/data/####/869ad158ecd762375be8d739e587c42832856bc84d40ba8....0.tmp
/data/data/####/8caae336a2f8fbea1abbf519a62f92c80de305454f658d7....0.tmp
/data/data/####/8ed5f2b27dad94f2b846576904e614ddc0e23907d5a58fe....0.tmp
/data/data/####/91278a87b04184e00953380f245b7b7ac02eb717074a1f1....0.tmp
/data/data/####/916749ef02fb800356c72a5de7fa24dfc1858c70c50f176....0.tmp
/data/data/####/919286d7dc2650881eedb6754e8d8648d8e8d2c4e0695dc....0.tmp
/data/data/####/92c363b730e8d8786245624d06b4135647478fece0304eb....0.tmp
/data/data/####/930fb6c5bf6ea8b9fd3864cd1a0b5e693f1dc87c448e8ef....0.tmp
/data/data/####/961a0c141c260053d4340cdea602887814c64d628474f03....0.tmp
/data/data/####/9833ca4cae5162f3da00a582c039cb0efb4c4c96108e0c4....0.tmp
/data/data/####/9ee34a96aa872a31b4800840a3adeeac1e7726fd9c93f0e....0.tmp
/data/data/####/9ef35a3628499aaeaddb4cff0f16bc9df99c87497798728....0.tmp
/data/data/####/9f7d6588e21a04ccaecca8251fc5708315d5ae4caf1a686....0.tmp
/data/data/####/9fb7626e02a28bbd535740e94011138a2e702633ff8339a....0.tmp
/data/data/####/JPushSA_Config.xml
/data/data/####/MultiDex.lock
/data/data/####/TLS_DEVICE_INFO.xml
/data/data/####/a1f4c20af594c954868da0ce07d3a24c7636fcba409c4a3....0.tmp
/data/data/####/a3086e2d54dc7653a0d30f438743ba7168fa1340baa6760....0.tmp
/data/data/####/a30b3113fde41160fc6f190821d5190a7e55787ed017747....0.tmp
/data/data/####/a3d377c8895728036895bfb4a0d22d190f773b27dd03fa1....0.tmp
/data/data/####/a54fe07bd4bf294c5939c0e2ee4840c3dbaeee1714c247d....0.tmp
/data/data/####/adad1bdd56477e6aff029d4c012f267ba2d1e5a9f21a36d....0.tmp
/data/data/####/adfa3601780b1fcf6af44f54016178e7f3949921a236943....0.tmp
/data/data/####/appPackageNames
/data/data/####/authStatus_com.borui.sbwh.xml
/data/data/####/b115ca688c6e21d45938b10112f3c0109a7a912a2983b19....0.tmp
/data/data/####/b18d97951d091fb40312b0d2c62a09fe1d952d8caf229ef....0.tmp
/data/data/####/b82ea027803d4c2eff73d91f90be6bc991d53f4c5edda2d....0.tmp
/data/data/####/b8c89381182638c5982cc12248e2b47859a0844131ad068....0.tmp
/data/data/####/b904cadab7ad557249ef4437aff8e77b95779a7d88b348d....0.tmp
/data/data/####/b94619bdb1c389765b23c8c2f4044fd7bf9585b088909b6....0.tmp
/data/data/####/bc7493fc4af418a57fd2a0948984316d3a5e767cbf0e651....0.tmp
/data/data/####/bd6cd03a9b7ca2988d12c1e705fdf5a77b5dc4b26c636a0....0.tmp
/data/data/####/bugly_db_-journal
/data/data/####/bugly_db_legu-journal
/data/data/####/c20dc58893b1531c501385dc1be587585e84182c5263c6e....0.tmp
/data/data/####/c3ed9cff734ff10a277eb145e90071758cbfecdc78aa0dc....0.tmp
/data/data/####/c4e33a1e086bdba0984d632620671743f160afed9bb2429....0.tmp
/data/data/####/ca56a2d70b2583fde5a3aee82869e2c666075945ea964c9....0.tmp
/data/data/####/cc.db
/data/data/####/cc.db-journal
/data/data/####/ce711af12ee398ddfcea526c91c770e62f8d0cb40e152b0....0.tmp
/data/data/####/ceea814d173f87229e4be9efaa06176d817e2ad4846bad1....0.tmp
/data/data/####/cn.jpush.android.user.profile.xml
/data/data/####/cn.jpush.preferences.v2.rid.xml
/data/data/####/cn.jpush.preferences.v2.xml
/data/data/####/com.borui.sbwh.Fragment.HomeFragment
/data/data/####/com.borui.sbwh.Fragment.ServiceFragment.Service.bm
/data/data/####/com.borui.sbwh.Fragment.home.ImportFragment.ad
/data/data/####/com.borui.sbwh.Fragment.home.ImportFragment.news.0
/data/data/####/com.borui.sbwh.Fragment.home.WuhuFragment.ad
/data/data/####/com.borui.sbwh.Fragment.home.WuhuFragment.news.11
/data/data/####/com.borui.sbwh.Fragment.home.WuhuFragment.news.25
/data/data/####/core_info
/data/data/####/crashrecord.xml
/data/data/####/d09930f2f0dd272f2dbee61e03ab0e3ac7fc51fbb910353....0.tmp
/data/data/####/d11c58edc983b0fa6bef6fea50955cbfb6304a17628eb40....0.tmp
/data/data/####/d2df6ef984012e7ad7992643825ffaa6c5a9eeb9084b73b....0.tmp
/data/data/####/d75e69e69a73d6504ad1a3f13403d4ede22f5d1748d4fa7....0.tmp
/data/data/####/d78c66fccc06940cd187d1bec0cafa25855b5edfe6588df....0.tmp
/data/data/####/dbac8a8c77ad245dfe27feb0a34da898ff3823a4fed2104....0.tmp
/data/data/####/ddb15f49f3f066bdfba3e8712cf1d6492afb876f4c66b09....0.tmp
/data/data/####/de5cd3ac93ad1eaae6e04175e1105314a68a456998dcaae....0.tmp
/data/data/####/e15f84c6920843c6d67e7a1cc63694c1b86f8b080507814....0.tmp
/data/data/####/e4770c2ac385f06f11ca19cd9c24cba076e8dc50a2ae72a....0.tmp
/data/data/####/e5d91ac41ca2ef28e42e030f1779a7ba4e88b292e788d50....0.tmp
/data/data/####/e6f460a448bd10ac9e7eb5a9e79716b8fd2e49a18e77a2b....0.tmp
/data/data/####/e7d7cf85797ea04f5c60d487033dc03d170b71195c0b460....0.tmp
/data/data/####/e8fec19dd70efb932d7781584123f5e6a4f8a6fceb69943....0.tmp
/data/data/####/ea1084cc215d0c47151862dac9bbd02c5d56cccb38f43cc....0.tmp
/data/data/####/ec5c6022282f8ddc6821aa584f36e5d3ae227124ac0529d....0.tmp
/data/data/####/ef0e058f1feb0358350b55e3be92f26d0bb6a8b858d8522....0.tmp
/data/data/####/ef49ba484a3fe8aac9e67066c05226e6403802263d1e3d9....0.tmp
/data/data/####/efa917a9f075466b0479bcd15dcfa21ab5df60f157ad4eb....0.tmp
/data/data/####/exchangeIdentity.json
/data/data/####/exid.dat
/data/data/####/f4deb4d5829d2d0c04023dd6f735ac156baacc6911f0e77....0.tmp
/data/data/####/f50345eb921834df4f98bf824df236c6c177df3219d3608....0.tmp
/data/data/####/f6866904af237ca716607b30b7a2cbc54e8f864bb8c6c14....0.tmp
/data/data/####/ffa333506be02d1d360a7245abd6b8f47fbd579b91a9a05....0.tmp
/data/data/####/identifier_flag.xml
/data/data/####/journal.tmp
/data/data/####/jpush_device_info.xml
/data/data/####/jpush_stat_cache.json
/data/data/####/jpush_stat_cache_history.json
/data/data/####/jpush_statistics.db
/data/data/####/jpush_statistics.db-journal
/data/data/####/jpush_statistics.db-shm (deleted)
/data/data/####/jpush_statistics.db-wal
/data/data/####/libcuid.so
/data/data/####/libnfix.so
/data/data/####/libshella-2.9.1.2.so
/data/data/####/libufix.so
/data/data/####/local_crash_lock
/data/data/####/mix.dex
/data/data/####/multidex.version.xml
/data/data/####/native_record_lock
/data/data/####/native_record_lock (deleted)
/data/data/####/report_v5.msgstore-journal
/data/data/####/security_info
/data/data/####/tbs_download_config.xml
/data/data/####/tbs_download_stat.xml
/data/data/####/tbscoreinstall.txt
/data/data/####/tbslock.txt
/data/data/####/tls_device.dat
/data/data/####/ua.db
/data/data/####/ua.db-journal
/data/data/####/umeng_general_config.xml
/data/data/####/umeng_it.cache
/data/data/####/userSettings.xml
/data/media/####/.cuid
/data/media/####/.cuid2
/data/media/####/.push_deviceid
/data/media/####/app.19.03.09.17.log
/data/media/####/imsdk_20190309.log
/data/media/####/jrwh58.apk
/data/media/####/sdk.19.03.09.17.log

Другие:

Запускает следующие shell-скрипты:

/system/bin/sh -c getprop
/system/bin/sh -c getprop ro.aa.romver
/system/bin/sh -c getprop ro.board.platform
/system/bin/sh -c getprop ro.build.fingerprint
/system/bin/sh -c getprop ro.build.nubia.rom.name
/system/bin/sh -c getprop ro.build.rom.id
/system/bin/sh -c getprop ro.build.tyd.kbstyle_version
/system/bin/sh -c getprop ro.build.version.emui
/system/bin/sh -c getprop ro.build.version.opporom
/system/bin/sh -c getprop ro.gn.gnromvernumber
/system/bin/sh -c getprop ro.lenovo.series
/system/bin/sh -c getprop ro.lewa.version
/system/bin/sh -c getprop ro.meizu.product.model
/system/bin/sh -c getprop ro.miui.ui.version.name
/system/bin/sh -c getprop ro.vivo.os.build.display.id
/system/bin/sh -c type su
chmod 700 <Package Folder>/tx_shell/libnfix.so
chmod 700 <Package Folder>/tx_shell/libshella-2.9.1.2.so
chmod 700 <Package Folder>/tx_shell/libufix.so
getprop
getprop ro.aa.romver
getprop ro.board.platform
getprop ro.build.fingerprint
getprop ro.build.nubia.rom.name
getprop ro.build.rom.id
getprop ro.build.tyd.kbstyle_version
getprop ro.build.version.emui
getprop ro.gn.gnromvernumber
getprop ro.lenovo.series
getprop ro.lewa.version
getprop ro.meizu.product.model
getprop ro.miui.ui.version.name
getprop ro.product.cpu.abi
getprop ro.vivo.os.build.display.id
getprop ro.yunos.version
logcat -d -v threadtime

Загружает динамические библиотеки:

BaiduMapSDK_base_v4_3_2
Bugly
_imcore_jni_gyp
ijkffmpeg
ijkplayer
ijksdl
jcore116
libnfix
libshella-2.9.1.2
libufix
libwtcrypto
nfix
qalcodecwrapper
qalmsfboot
txrtmpsdk
ufix

Использует следующие алгоритмы для шифрования данных:

AES-CBC-PKCS5Padding
AES-CBC-PKCS7Padding
AES-ECB-PKCS7Padding
AES-GCM-NoPadding
RSA-ECB-NoPadding
RSA-ECB-PKCS1Padding

Использует следующие алгоритмы для расшифровки данных:

AES-ECB-NoPadding
AES-GCM-NoPadding

Использует специальную библиотеку для скрытия исполняемого байт-кода.

Получает информацию о сети.

Получает информацию о телефоне (номер, IMEI и т. д.).

Получает информацию об установленных приложениях.

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней