Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.155.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) img.su####.com.####.com:80
- TCP(HTTP/1.1) api.meme####.com:80
- TCP(HTTP/1.1) c####.meme####.com:80
- TCP(HTTP/1.1) zt-adfi####.oss-cn-####.aliy####.com:80
- TCP(HTTP/1.1) www.m####.com:80
- TCP(HTTP/1.1) r####.uu.qq.com:80
- TCP(TLS/1.0) gl####.w.kunl####.####.com:443
- TCP(TLS/1.0) img.su####.com.####.com:443
- TCP(TLS/1.0) regi####.xm####.xi####.com:443
Запросы DNS:
- api.meme####.com
- c####.meme####.com
- img.safetys####.mobi
- img.su####.com
- r####.uu.qq.com
- regi####.xm####.xi####.com
- ws.meme####.com
- www.m####.com
- zt-adfi####.oss-cn-####.aliy####.com
Запросы HTTP GET:
- api.meme####.com/activity/packet_list
- api.meme####.com/app/index
- api.meme####.com/properties/list
- api.meme####.com/public/blackword_list/0
- api.meme####.com/public/blackword_list/1
- api.meme####.com/public/inform?size=####&type=####
- api.meme####.com/public/poster/2
- api.meme####.com/public/room_list?page=####&live=####&size=####&sort=####
- api.meme####.com/public/t_hex
- api.meme####.com/show/bell_gift_list
- api.meme####.com/show/cars_list
- api.meme####.com/show/gift_list
- api.meme####.com/zone/mission_num
- img.su####.com.####.com/11/3/1493376936139.jpg
- img.su####.com.####.com/12/4/1438840897548.jpg
- img.su####.com.####.com/12/4/1495002759820.jpg
- img.su####.com.####.com/13/5/1461739023373.jpg
- img.su####.com.####.com/13/5/1492522388813.jpg
- img.su####.com.####.com/18/2/1433988334482.jpg
- img.su####.com.####.com/20/4/1433988048788.jpg
- img.su####.com.####.com/20/4/1441537079572.jpg
- img.su####.com.####.com/20/4/1492536061844.jpg
- img.su####.com.####.com/21/5/1441591456725.jpg
- img.su####.com.####.com/21/5/1492523049237.jpg
- img.su####.com.####.com/22/6/1415844433046.jpg
- img.su####.com.####.com/23/7/1442374000663.jpg
- img.su####.com.####.com/24/0/1493376950232.jpg
- img.su####.com.####.com/27/3/1408010576603.jpg
- img.su####.com.####.com/27/3/1493376962459.jpg
- img.su####.com.####.com/28/4/1464341461148.jpg
- img.su####.com.####.com/3/3/1438841119811.jpg
- img.su####.com.####.com/32/0/1418008953056.jpg
- img.su####.com.####.com/34/2/1404113259106.jpg
- img.su####.com.####.com/35/3/1490841105507.jpg
- img.su####.com.####.com/35/3/1492522643811.jpg
- img.su####.com.####.com/35/3/1492534807267.jpg
- img.su####.com.####.com/36/4/1404114408036.jpg
- img.su####.com.####.com/36/4/1478766324580.jpg
- img.su####.com.####.com/36/4/1492522102308.jpg
- img.su####.com.####.com/36/4/1493376841764.jpg
- img.su####.com.####.com/37/5/1404114756837.jpg
- img.su####.com.####.com/37/5/1486453235941.jpg
- img.su####.com.####.com/38/6/1441877346406.jpg
- img.su####.com.####.com/38/6/1485166714022.jpg
- img.su####.com.####.com/38/6/1492522828390.jpg
- img.su####.com.####.com/41/1/1492522470441.jpg
- img.su####.com.####.com/42/2/1404113474090.jpg
- img.su####.com.####.com/42/2/1492522519786.jpg
- img.su####.com.####.com/43/3/1415844338219.jpg
- img.su####.com.####.com/44/4/1492522983532.jpg
- img.su####.com.####.com/44/4/1493376914860.jpg
- img.su####.com.####.com/45/5/1493376975533.jpg
- img.su####.com.####.com/48/0/1442456402160.jpg
- img.su####.com.####.com/5/5/1404115511429.jpg
- img.su####.com.####.com/5/5/1493376857477.jpg
- img.su####.com.####.com/51/3/1404113662771.jpg
- img.su####.com.####.com/53/5/1404113732021.jpg
- img.su####.com.####.com/53/5/1442214601781.jpg
- img.su####.com.####.com/55/7/1443428879607.jpg
- img.su####.com.####.com/58/2/1441959947962.jpg
- img.su####.com.####.com/6/6/1432694554502.jpg
- img.su####.com.####.com/63/7/1443428799487.jpg
- img.su####.com.####.com/9/1/1422624662729.jpg
- img.su####.com.####.com/9/1/1441879794057.jpg
- www.m####.com/Tools/GetWeather.aspx?mobile=####&city=####&info=YW####&sy...
- www.m####.com/Tools/GetWeather.aspx?try=####&mobile=####&city=####&info=...
- www.m####.com/tools/GetSearchKeyList.aspx?pagesize=####
- www.m####.com/tools/getcity.aspx
- zt-adfi####.oss-cn-####.aliy####.com/1512/rt/gx.bin
Запросы HTTP POST:
- c####.meme####.com/web/index.php?/ums/po####
- r####.uu.qq.com/rqd/sync
- www.m####.com/tools/GetVersionEx.aspx
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.engine.apk
- /data/data/####/.key.apk
- /data/data/####/AllRoomList
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/BANNER
- /data/data/####/BELL_GIFT_LIST
- /data/data/####/CHEST_GIFT_LIST
- /data/data/####/CobubRazor_SharedPref.xml
- /data/data/####/GIFT_LIST
- /data/data/####/KEY_WORD
- /data/data/####/MISSION_COUNT
- /data/data/####/MOUNT_MALL
- /data/data/####/PLAZA_DATA
- /data/data/####/PROPERTIES_LIST
- /data/data/####/RED_PACKET_LIST
- /data/data/####/SENSITIVE_WORD
- /data/data/####/WebpageIcons.db-journal
- /data/data/####/__pasys_remote_offer_wall.tmp.jar
- /data/data/####/android_pre.xml
- /data/data/####/bugly_db_-journal
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cobub.cache
- /data/data/####/com.mobilewindow_HandDrawing_preferences.xml
- /data/data/####/commobilewindow_HandDrawing
- /data/data/####/config.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/flag
- /data/data/####/gx
- /data/data/####/index
- /data/data/####/last_cache_time
- /data/data/####/launcher.db-journal
- /data/data/####/launcher.preferences
- /data/data/####/libcrypt.so
- /data/data/####/libloader.so
- /data/data/####/mipush.xml
- /data/data/####/mipush_extra.xml
- /data/data/####/mobclick_agent_cached_com.mobilewindow_HandDrawing20160812
- /data/data/####/shell_pre.xml
- /data/data/####/show.db-journal
- /data/data/####/temp.jar
- /data/data/####/umeng_general_config.xml
- /data/data/####/updateVersion2.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.commobilewindow_HandDrawing
- /data/media/####/.nomedia
- /data/media/####/003a63ac35a4abb2682006c425301d29.tmp
- /data/media/####/0917fc2ee5214b7f3e391c2e86c42d4d.tmp
- /data/media/####/0ccb5114363c1aaff0eae438830d8e41.tmp
- /data/media/####/0cf7eb48e5a21c45c4ad8dddd2cebb4b.tmp
- /data/media/####/0e579c1f83862120111ec7d9936be902.tmp
- /data/media/####/122d6ea5d8802acdbf8cde8c6bd0101d.tmp
- /data/media/####/128411de7293bbaf25fd1e2eeb22e09b.tmp
- /data/media/####/180cd43f832265830158df87b77d7cca.tmp
- /data/media/####/1dc7a0c51b797e0dea56e1a0b734cd3e.tmp
- /data/media/####/20b0b26a0dd17c5064d2bf33cf383712.tmp
- /data/media/####/2731d07352df098f25feb14fa55b8f57.tmp
- /data/media/####/308a0c0486e05b5d8a973d7cacc588e7.tmp
- /data/media/####/31f216820afafd54affc4c6c609f0a4f.tmp
- /data/media/####/320d82846c2cf1dab04df103b759f5ca.tmp
- /data/media/####/33d519f1215a99a875903b1fd59c4813.tmp
- /data/media/####/3bf015aabfe0b451c30e16bba52c6f5a.tmp
- /data/media/####/405ab30c6b21d3733b1e12127ed30378.tmp
- /data/media/####/43e23fd3b22079b6e73f28dbe19bf2cd.tmp
- /data/media/####/44b4a13839bc2f8462c3a0f57557495f.tmp
- /data/media/####/45ke9psisp8ofwne9e9wulsz2
- /data/media/####/45ke9psisp8ofwne9e9wulsz2.tmp
- /data/media/####/499f9e322cfaf69bdcc7f0f06d9517c6.tmp
- /data/media/####/4c56e1dad7e1f82ca93de1aaf3e66881.tmp
- /data/media/####/4zj4lul7kpfsk6i3axns970x4
- /data/media/####/4zj4lul7kpfsk6i3axns970x4.tmp
- /data/media/####/53d94704583f9063c57fceed7e21677a.tmp
- /data/media/####/5643d254841aea1ff23d34afcd2081bc.tmp
- /data/media/####/68cd67bc014b1a54833bfe65d5545cbc.tmp
- /data/media/####/6a019540417a59b840209d1230184833.tmp
- /data/media/####/6de519f204d879d284de5d86a477802a.tmp
- /data/media/####/6e2535ea7770752a1ece767978de1eee.tmp
- /data/media/####/72662756908852a94eb40822a8630247.tmp
- /data/media/####/75ee156057572a33ab32fe53d414bb37.tmp
- /data/media/####/7670a6b9fe7c6b592de28d37daacadb5.tmp
- /data/media/####/76f26cb8989172f717d90442d1bba4c5.tmp
- /data/media/####/7ae482dd76ed0849bea93a88216e1ef9.tmp
- /data/media/####/7ee0bd8f0911d5964fc742be3c06d03c.tmp
- /data/media/####/7f88bf23ed2553374459b7e85b6b77d2.tmp
- /data/media/####/85978a1c842df644fe48ad56c5000226.tmp
- /data/media/####/860b9a3c411f5d53aee22e2fa20b80d1.tmp
- /data/media/####/90be580bc57afaa38d8abb0767ce6c8c.tmp
- /data/media/####/97dd6d8c02250ce39684e659d1af4931.tmp
- /data/media/####/99675d541f64ff97d2451074ba7e1e3c.tmp
- /data/media/####/a7d722cc15e9a3cecdb9bca6ff732cc4.tmp
- /data/media/####/ac95960639dbe65e89f6121d79179673.tmp
- /data/media/####/adeaebab2c8faf6e568bb2face23474d.tmp
- /data/media/####/aeacda196cc9caad6b64506faefd627b.tmp
- /data/media/####/b26ebc9544eeeec66da58301450179c8.tmp
- /data/media/####/b7a96615940050395f3ea2bad4458514.tmp
- /data/media/####/c1c5b67911ebe81179e65bffee0f2f7d.tmp
- /data/media/####/c5d9bc25f1f261420a5213488061da3c.tmp
- /data/media/####/e99dadf4f1540239db837d97bd768b2f.tmp
- /data/media/####/ee27e2c1c682ed0601bc63795ea64698.tmp
- /data/media/####/f4417f577ebe2a57529b8c801d63706e.tmp
- /data/media/####/f9e292f0095241478995853c022816d0.tmp
- /data/media/####/sys_nicholas.txt
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.board.platform
- cat /proc/version
- cat /sys/class/net/wlan0/address
- chmod 777 <Package Folder>/files/gxTmp
- chmod 777 <Package Folder>/files/gxTmp/gx
- getprop ro.board.platform
Загружает динамические библиотеки:
- Bugly
- crypt
- libloader
- msc
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
- DES
- DES-CBC-PKCS5Padding
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Получает информацию о телефонных контактах.
