Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Dowgin.3.origin
- Android.Xiny.20
- Android.Xiny.54.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ad.lanji####.com:80
- TCP(HTTP/1.1) ws.dol####.com:80
- TCP(HTTP/1.1) cd.md.c####.####.net:80
- TCP(HTTP/1.1) api.i####.yo####.cn:80
- TCP(HTTP/1.1) f49.dol####.com:80
- TCP(TLS/1.0) 1####.217.17.46:443
Запросы DNS:
- ad.lanji####.com
- api.i####.yo####.cn
- cd.md.c####.cn
- f49.dol####.com
- ws.dol####.com
Запросы HTTP GET:
- cd.md.c####.####.net/ad/20171206/201712061752304.png
- cd.md.c####.####.net/ad/20181109/201811091511627.apk
- cd.md.c####.####.net/ad/20181204/201812041054759.png
- ws.dol####.com/download//jarFile/SDKAutoUpdate/test190118.tar.gz
Запросы HTTP POST:
- ad.lanji####.com/lanjingke/interface.action?advertModule=####
- api.i####.yo####.cn/_rfv/c1l2i3c4k5.jsp
- api.i####.yo####.cn/_rfv/i1n2f3o4.jsp
- api.i####.yo####.cn/_rfv/i1n2i3t4.jsp
- api.i####.yo####.cn/_rfv/s1h2o3w4.jsp
- api.i####.yo####.cn/_tgb/i1n2f3o4.jsp
- api.i####.yo####.cn/_tgb/i1n2i3t4.jsp
- api.i####.yo####.cn/_ujm/i1n2i3t4.jsp
- f49.dol####.com/collectcc.do
- f49.dol####.com/lanjingke/interface.action?advertModule=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.md5
- /data/data/####/.sec_version
- /data/data/####/L_Key.xml
- /data/data/####/StarterActivity.xml
- /data/data/####/_d_ph.xml
- /data/data/####/_d_t_n.xml
- /data/data/####/_dling.xml
- /data/data/####/acomc
- /data/data/####/amnecraf.jar
- /data/data/####/apcom.db-journal
- /data/data/####/classes.dex
- /data/data/####/classes.jar
- /data/data/####/com.photo.stickers.mnecraf
- /data/data/####/com.photo.stickers.mnecraf.art
- /data/data/####/com.photo.stickers.mnecraf.art.20
- /data/data/####/ki.xml
- /data/data/####/l_cp_st.xml
- /data/data/####/lcdownloads
- /data/data/####/lcdownloads-journal
- /data/data/####/libsecexe.x86.so
- /data/data/####/libsecmain.x86.so
- /data/data/####/libsecpreload.x86.so
- /data/data/####/ljk_c.xml
- /data/data/####/ljkc_jar_root.xml
- /data/data/####/ljkc_jar_version.xml
- /data/media/####/01.png
- /data/media/####/01_ico.png
- /data/media/####/02.png
- /data/media/####/02_ico.png
- /data/media/####/03.png
- /data/media/####/03_ico.png
- /data/media/####/04.png
- /data/media/####/04_ico.png
- /data/media/####/05.png
- /data/media/####/05_ico.png
- /data/media/####/06.png
- /data/media/####/06_ico.png
- /data/media/####/07.png
- /data/media/####/07_ico.png
- /data/media/####/08.png
- /data/media/####/08_ico.png
- /data/media/####/09.png
- /data/media/####/09_ico.png
- /data/media/####/10.png
- /data/media/####/10_ico.png
- /data/media/####/11.png
- /data/media/####/11_ico.png
- /data/media/####/12.png
- /data/media/####/12_ico.png
- /data/media/####/13.png
- /data/media/####/13_ico.png
- /data/media/####/14.png
- /data/media/####/14_ico.png
- /data/media/####/15.png
- /data/media/####/15_ico.png
- /data/media/####/16.png
- /data/media/####/16_ico.png
- /data/media/####/17.png
- /data/media/####/17_ico.png
- /data/media/####/18.png
- /data/media/####/18_ico.png
- /data/media/####/19.png
- /data/media/####/19_ico.png
- /data/media/####/20.png
- /data/media/####/201712061752304.tmp
- /data/media/####/201812041054759.tmp
- /data/media/####/20_ico.png
- /data/media/####/21.png
- /data/media/####/21_ico.png
- /data/media/####/22.png
- /data/media/####/22_ico.png
- /data/media/####/23.png
- /data/media/####/23_ico.png
- /data/media/####/24.png
- /data/media/####/24_ico.png
- /data/media/####/25.png
- /data/media/####/25_ico.png
- /data/media/####/26.png
- /data/media/####/26_ico.png
- /data/media/####/27.png
- /data/media/####/27_ico.png
- /data/media/####/28.png
- /data/media/####/28_ico.png
- /data/media/####/29.png
- /data/media/####/29_ico.png
- /data/media/####/30.png
- /data/media/####/30_ico.png
- /data/media/####/31.png
- /data/media/####/31_ico.png
- /data/media/####/32.png
- /data/media/####/32_ico.png
- /data/media/####/33.png
- /data/media/####/33_ico.png
- /data/media/####/34.png
- /data/media/####/34_ico.png
- /data/media/####/35.png
- /data/media/####/35_ico.png
- /data/media/####/36.png
- /data/media/####/36_ico.png
- /data/media/####/37.png
- /data/media/####/37_ico.png
- /data/media/####/38.png
- /data/media/####/38_ico.png
- /data/media/####/39.png
- /data/media/####/39_ico.png
- /data/media/####/40.png
- /data/media/####/40_ico.png
- /data/media/####/41.png
- /data/media/####/41_ico.png
- /data/media/####/42.png
- /data/media/####/42_ico.png
- /data/media/####/43.png
- /data/media/####/43_ico.png
- /data/media/####/44.png
- /data/media/####/44_ico.png
- /data/media/####/45.png
- /data/media/####/45_ico.png
- /data/media/####/46.png
- /data/media/####/46_ico.png
- /data/media/####/47.png
- /data/media/####/47_ico.png
- /data/media/####/48.png
- /data/media/####/48_ico.png
- /data/media/####/49.png
- /data/media/####/49_ico.png
- /data/media/####/50.png
- /data/media/####/50_ico.png
- /data/media/####/51.png
- /data/media/####/51_ico.png
- /data/media/####/52.png
- /data/media/####/52_ico.png
- /data/media/####/53.png
- /data/media/####/53_ico.png
- /data/media/####/54.png
- /data/media/####/54_ico.png
- /data/media/####/55.png
- /data/media/####/55_ico.png
- /data/media/####/56.png
- /data/media/####/56_ico.png
- /data/media/####/57.png
- /data/media/####/57_ico.png
- /data/media/####/58.png
- /data/media/####/58_ico.png
- /data/media/####/59.png
- /data/media/####/59_ico.png
- /data/media/####/60.png
- /data/media/####/60_ico.png
- /data/media/####/61.png
- /data/media/####/61_ico.png
- /data/media/####/62.png
- /data/media/####/62_ico.png
- /data/media/####/63.png
- /data/media/####/63_ico.png
- /data/media/####/64.png
- /data/media/####/64_ico.png
- /data/media/####/65.png
- /data/media/####/65_ico.png
- /data/media/####/66.png
- /data/media/####/66_ico.png
- /data/media/####/67.png
- /data/media/####/67_ico.png
- /data/media/####/68.png
- /data/media/####/68_ico.png
- /data/media/####/69.png
- /data/media/####/69_ico.png
- /data/media/####/70.png
- /data/media/####/70_ico.png
- /data/media/####/71.png
- /data/media/####/71_ico.png
- /data/media/####/72.png
- /data/media/####/72_ico.png
- /data/media/####/73.png
- /data/media/####/73_ico.png
- /data/media/####/74.png
- /data/media/####/74_ico.png
- /data/media/####/75.png
- /data/media/####/75_ico.png
- /data/media/####/IM.DAT
- /data/media/####/back_gradient.xml
- /data/media/####/bg.png
- /data/media/####/bg_menu.png
- /data/media/####/bottom_panel_1.9.png
- /data/media/####/button_add.png
- /data/media/####/button_add_pressed.png
- /data/media/####/button_back.png
- /data/media/####/button_back_disable.png
- /data/media/####/button_back_pressed.png
- /data/media/####/button_camera.png
- /data/media/####/button_camera_pressed.png
- /data/media/####/button_del.png
- /data/media/####/button_del_pressed.png
- /data/media/####/button_eraser.png
- /data/media/####/button_eraser_checked.png
- /data/media/####/button_eraser_pressed.png
- /data/media/####/button_flip.png
- /data/media/####/button_flip_pressed.png
- /data/media/####/button_gallery.png
- /data/media/####/button_gallery_pressed.png
- /data/media/####/button_healing_brush.png
- /data/media/####/button_healing_brush_pressed.png
- /data/media/####/button_healling_brush_checked.png
- /data/media/####/button_healling_brush_disable.png
- /data/media/####/button_left.png
- /data/media/####/button_left_pressed.png
- /data/media/####/button_move.png
- /data/media/####/button_move_checked.png
- /data/media/####/button_move_pressed.png
- /data/media/####/button_right.png
- /data/media/####/button_right_pressed.png
- /data/media/####/button_save.png
- /data/media/####/button_save_pressed.png
- /data/media/####/button_share.png
- /data/media/####/button_share_pressed.png
- /data/media/####/data.dat
- /data/media/####/dimens.xml
- /data/media/####/ico_lock.png
- /data/media/####/ico_lock_buy.png
- /data/media/####/ico_lock_fb.png
- /data/media/####/ico_lock_poll.png
- /data/media/####/ico_lock_rate.png
- /data/media/####/ico_lock_video.png
- /data/media/####/jar_dex.tar.gz
- /data/media/####/listdata.xml
- /data/media/####/menu_button_chancel.png
- /data/media/####/menu_button_chancel_pressed.png
- /data/media/####/menu_button_merge_and_cont.png
- /data/media/####/menu_button_merge_and_cont_pressed.png
- /data/media/####/menu_button_replace_and_cont.png
- /data/media/####/menu_button_replace_and_cont_pressed.png
- /data/media/####/rd.pp
- /data/media/####/slider_bck.png
- /data/media/####/slider_toggle2.png
- /data/media/####/strings.xml
- /data/media/####/test.jar
- /data/media/####/time.dat
- /data/media/####/top_panel.9.png
- /data/media/####/u.dat
- /data/media/####/values.xml
Другие:
Запускает следующие shell-скрипты:
- <Package> <Package> -1837040872 0 /data/app/<Package>-1.apk 41 <Package> 52 53 1 0
- chmod 755 <Package Folder>/.cache/<Package>
- chmod 755 <Package Folder>/.cache/<Package>.art
- chmod 755 <Package Folder>/.cache/<Package>.art.20
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- libsecexe.x86
Использует следующие алгоритмы для шифрования данных:
- DES
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
