Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Dowgin.14.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) st####.mei####.net:80
- TCP(HTTP/1.1) a####.m.ta####.com:80
- TCP(HTTP/1.1) ui.ki.u####.cn:80
- TCP(HTTP/1.1) ap####.me####.cc:80
- TCP(HTTP/1.1) api.me####.cc:80
- TCP(HTTP/1.1) cd.md.c####.####.net:80
- TCP(HTTP/1.1) idu####.qini####.com:80
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(TLS/1.0) c####.im.ta####.com:443
- TCP(TLS/1.0) ti####.c####.l####.####.com:443
- TCP(TLS/1.0) api####.zhu####.com:443
Запросы DNS:
- a####.m.ta####.com
- ap####.me####.cc
- api####.zhu####.com
- api.me####.cc
- c####.im.ta####.com
- cd.md.c####.cn
- i####.ww.ta####.com
- im####.mei####.net
- s####.mei####.net
- s1.c.mei####.net
- s1.st.mei####.net
- st####.mei####.net
- to####.me####.cc
- ui.ki.u####.cn
Запросы HTTP GET:
- cd.md.c####.####.net/offer/20181204/201812041054103.png
- cd.md.c####.####.net/offer/20181204/201812041054366.apk
- cd.md.c####.####.net/offer/20181204/201812041054759.png
- idu####.qini####.com/adm/additive/2016-03-25/56f4eede1ea0a.png
- idu####.qini####.com/adm/additive/2016-03-25/56f4ef9eb4617.jpg
- idu####.qini####.com/adm/additive/2016-04-12/570c91a079057.jpg
- idu####.qini####.com/adm/additive/2016-04-15/571092e7534aa.jpg
- idu####.qini####.com/app/open/jiuyang0914_750x1336.jpg
- idu####.qini####.com/data/upload/shop/store/goods/139/139_05422116940382...
- idu####.qini####.com/data/upload/shop/store/goods/197/197_05560427132405...
- idu####.qini####.com/shop/uploadfile/20161008/20161008123459.jpg
- st####.mei####.net/wap6/images/v6/fujinnew.png
- st####.mei####.net/wap6/images/v6/paihangbangnew.png
- st####.mei####.net/wap6/images/v6/quanbunew.png
- st####.mei####.net/wap6/images/v6/shipincaipunew.png
- st####.mei####.net/wap6/images/v6/zhinengzucainew.png
- ti####.c####.l####.####.com/p/20190315/2a6fa4e7f5c7684635f238d428127532....
- ti####.c####.l####.####.com/p/20190315/5415777177a23e65f8ecd159698b2dfc....
- ti####.c####.l####.####.com/p/20190315/ac351ec68b65b5eb39c2d948cfb77a6a....
- ti####.c####.l####.####.com/p/20190315/b2c240f35743c2aa369e9c9a5e640979....
- ti####.c####.l####.####.com/p/20190315/ccfc24ef7e28c6b77e0153608271d602....
- ti####.c####.l####.####.com/p/20190315/ec95f2c57f4f7c6e369122e155200d97....
- ui.ki.u####.cn/z?a=####
Запросы HTTP POST:
- a####.m.ta####.com/rest/gc?dd=####&nsgs=####&ak=####&av=####&c=####&v=##...
- a####.m.ta####.com/rest/sur?ak=####&av=####&c=####&v=####&s=####&d=####&...
- ap####.me####.cc/android_version.php
- ap####.me####.cc/v5/packlist.php
- api.me####.cc/v5/index5.php?format=####
- api.me####.cc/v5/index_activity_icons.php?format=####
- api.me####.cc/v5/msg_num.php
- api.me####.cc/v5/show.php
- ui.ki.u####.cn/Z/t/4a2cl
- ui.ki.u####.cn/bp/am/s/n9f
- ui.ki.u####.cn/dac/bit/och/jf3
- ui.ki.u####.cn/k/h/zfc
- ui.ki.u####.cn/lt/h/r/h39
- ui.ki.u####.cn/u/2ce8k
- ui.ki.u####.cn/uy/kf3
- ui.ki.u####.cn/zv/kf/lef
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-151507063-636408437
- /data/data/####/-158079558437409165
- /data/data/####/-176002274378823395
- /data/data/####/005c9.xml
- /data/data/####/45f6a963f.xml
- /data/data/####/544524051-408777501
- /data/data/####/5719650.xml
- /data/data/####/5fa81efd6.xml
- /data/data/####/90fe671ca3.xml
- /data/data/####/Alvin2.xml
- /data/data/####/AppStore.xml
- /data/data/####/ContextData.xml
- /data/data/####/FlagDbFileWriteOK.xml
- /data/data/####/UTCommon.xml
- /data/data/####/UTMCConf1720034001.xml
- /data/data/####/UTMCConf998909199.xml
- /data/data/####/UTMCLog1720034001.xml
- /data/data/####/UTMCLog998909199.xml
- /data/data/####/_i1720034001.xml
- /data/data/####/_w1720034001.xml
- /data/data/####/bc5d8.xml
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/com.meiwen.foodfg4cfc5d6000164932a167e1f5e32f59bf.xml
- /data/data/####/com.meiwen.foodfg;remote4cfc5d6000164932a167e1f...bf.xml
- /data/data/####/com.ued.ldrx.jar
- /data/data/####/config.xml
- /data/data/####/data_package.xml
- /data/data/####/data_package_dvs.xml
- /data/data/####/data_package_md5.xml
- /data/data/####/data_package_name_map.xml
- /data/data/####/meishi-journal
- /data/data/####/meishij8.db
- /data/data/####/mobclick_agent_cached_com.meiwen.foodfg500
- /data/data/####/org.fvdacf.ynoecka.jar
- /data/data/####/privatemessage.xml
- /data/data/####/sp.lock
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_message_state.xml
- /data/data/####/umeng_socialize_qq.xml
- /data/data/####/ums_agent_online_setting_com.meiwen.foodfg.xml
- /data/data/####/webview.db-journal
- /data/data/####/ywPrefsTools.xml
- /data/data/####/zhuge
- /data/data/####/zhuge-journal
- /data/media/####/-1251533947.tmp
- /data/media/####/-1442989503.tmp
- /data/media/####/-1878338417.tmp
- /data/media/####/-2012804826.tmp
- /data/media/####/-751251285.tmp
- /data/media/####/-960977468.tmp
- /data/media/####/1153240073.tmp
- /data/media/####/1407038696.tmp
- /data/media/####/144259829.tmp
- /data/media/####/15099fbb7f572200f2c89a95ceb28b3d.tmp
- /data/media/####/1594982919.tmp
- /data/media/####/1715896856.tmp
- /data/media/####/1784346204.tmp
- /data/media/####/1830565.tmp
- /data/media/####/1880052621.tmp
- /data/media/####/2047843741.tmp
- /data/media/####/2080305124.tmp
- /data/media/####/2103483659.tmp
- /data/media/####/342286541.tmp
- /data/media/####/35788103.tmp
- /data/media/####/589696235.tmp
- /data/media/####/67b372
- /data/media/####/6c709c11d2d46a7b
- /data/media/####/738740158.tmp
- /data/media/####/769651857.tmp
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/c000b6
- /data/media/####/commeiwenfoodfg.txt
- /data/media/####/dd7893586a493dc3
- /data/media/####/jiuyang0914_750x1336
- /data/media/####/mfz.d
Другие:
Запускает следующие shell-скрипты:
- cat /proc/cpuinfo | grep Serial
- chmod 777 /storage/emulated/0/download/74a2ce8b//15099fbb7f572200f2c89a95ceb28b3d.tmp
- ls -l /system/xbin/su
Загружает динамические библиотеки:
- ijkffmpeg
- ijkplayer
- ijksdl
- securitysdk-3.1
- zqwJ
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DES
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- DES
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Получает информацию о привязанных к устройству аккаунтах (Google, Facebook и т. д.).
Отрисовывает собственные окна поверх других приложений.
