Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Dowgin.14.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) yi.gi.y####.com:80
- TCP(HTTP/1.1) api.yu####.org:80
- TCP(HTTP/1.1) m.d####.mob.com:80
- TCP(HTTP/1.1) d####.d####.mob.com:80
- TCP(HTTP/1.1) api.ope####.link:80
- TCP(HTTP/1.1) a####.exc.mob.com:80
- TCP(HTTP/1.1) 1####.29.126.222:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) c.d####.mob.com:80
- TCP(HTTP/1.1) v1.ope####.cn:80
- TCP(HTTP/1.1) v1.ope####.link:80
- TCP(HTTP/1.1) api.s####.mob.com:80
- TCP(HTTP/1.1) cf.ope####.cn:80
- TCP(HTTP/1.1) pi####.qq.com:80
Запросы DNS:
- a####.exc.mob.com
- and####.b####.qq.com
- api.h####.com
- api.ope####.link
- api.s####.mob.com
- api.yu####.org
- c.d####.mob.com
- cf.ope####.cn
- d####.d####.mob.com
- m.d####.mob.com
- pi####.qq.com
- v1.h####.com
- v1.ope####.cn
- v1.ope####.link
- yi.gi.y####.com
Запросы HTTP GET:
- api.ope####.link/?secret_key=####&s####&s_udid=####&s_ibg_kind=####&s_ib...
- m.d####.mob.com/cconf?appkey=####&plat=####&apppkg=####&appver=####&netw...
- v1.ope####.cn/?secret_key=####&s####&s_udid=####&s_ibg_kind=####&s_ibg_v...
- v1.ope####.cn/ckbd?action=####&app_kind=####&secret_key=####&s####&s_udi...
- v1.ope####.cn/ckbd?action=####&app_kind=####&show=####&all=####&secret_k...
- v1.ope####.cn/ckbd?action=####&ibg_kind=####&need_img=####&need_imgs=###...
- v1.ope####.cn/ckbd?action=####&s_ibg_kind=####&secret_key=####&s####&s_u...
- v1.ope####.cn/ckbd?action=####&secret_key=####&s####&s_udid=####&s_ibg_k...
- v1.ope####.cn/ckbd?action=####&uid=####&secret_key=####&s####&s_udid=###...
- v1.ope####.link/?secret_key=####&s####&s_udid=####&s_ibg_kind=####&s_ibg...
- v1.ope####.link/ckbd?action=####&app_kind=####&begin=####&plen=####&secr...
- yi.gi.y####.com/i?a=####
Запросы HTTP POST:
- a####.exc.mob.com/errconf
- and####.b####.qq.com/rqd/async?aid=####
- api.s####.mob.com/conf5
- api.s####.mob.com/conn
- api.s####.mob.com/log4
- api.yu####.org/api/hx_tips.jsp?secret_key=####&s####&s_udid=####&s_ibg_k...
- c.d####.mob.com/v2/cdata
- cf.ope####.cn/currency/currency_info?secret_key=####&s####&s_udid=####&s...
- d####.d####.mob.com/dinfo
- d####.d####.mob.com/dsign
- pi####.qq.com/mstat/report/?index=####
- v1.ope####.cn/ckbd?action=####&secret_key=####&s####&s_udid=####&s_ibg_k...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.lock
- /data/data/####/.mrecord
- /data/data/####/.mrlock
- /data/data/####/.statistics
- /data/data/####/0-journal
- /data/data/####/0b666310867d7778881215ed7b466cf2.0.tmp
- /data/data/####/0b666310867d7778881215ed7b466cf2.1.tmp
- /data/data/####/0c7f93b06d02acc7ee3d2b645ce548b430e2c3a465ea1e9....0.tmp
- /data/data/####/1004
- /data/data/####/1dfc9af03a3fed3183f48206f3b32979154e189b09ab02f....0.tmp
- /data/data/####/2eb8882ed99a243f0c575ecbdd6bb6288283657d53fb2ef....0.tmp
- /data/data/####/33677a42f5fcc602f92d2ed15d2b46ae08c54c2651647cd....0.tmp
- /data/data/####/4391858f6ac8519ec318cf9819510368.0.tmp
- /data/data/####/4391858f6ac8519ec318cf9819510368.1.tmp
- /data/data/####/457ab082ed198b08616cafd8eb3d5666bf2366cd16e04b1....0.tmp
- /data/data/####/463678b630fc4768444ba3b94c72de19.0.tmp
- /data/data/####/463678b630fc4768444ba3b94c72de19.1.tmp
- /data/data/####/556fc7818803c4f6d0b4a42c8caed296.0.tmp
- /data/data/####/556fc7818803c4f6d0b4a42c8caed296.1.tmp
- /data/data/####/591532bb3ccbf1041e9479e7dc97833ba19c2f3fe2200e1....0.tmp
- /data/data/####/60453fb8f40852f74f7acf0c46cad97144e856480b5a60f....0.tmp
- /data/data/####/7ce764c436b6bc6282449bc32329d6e7ba081c09ac06b17....0.tmp
- /data/data/####/7ce9c1b25a09157950331cd7197306a5.0.tmp
- /data/data/####/7ce9c1b25a09157950331cd7197306a5.1.tmp
- /data/data/####/84308c6780b857aa5ce589056ea9f2b3.0.tmp
- /data/data/####/84308c6780b857aa5ce589056ea9f2b3.1.tmp
- /data/data/####/8a6e3dfe0b4633e56ebba924660e3a82.0.tmp
- /data/data/####/8a6e3dfe0b4633e56ebba924660e3a82.1.tmp
- /data/data/####/9ad9bc2dc5df9a52b2e679d2292b36ff47c3e7b8db41d2b....0.tmp
- /data/data/####/9ba9b13bfb2a2b01104b6ef93aa36963.0.tmp
- /data/data/####/9ba9b13bfb2a2b01104b6ef93aa36963.1.tmp
- /data/data/####/9f7bb845ce3768fc1102e725c15d6df3.0.tmp
- /data/data/####/9f7bb845ce3768fc1102e725c15d6df3.1.tmp
- /data/data/####/Access_Preferences.xml
- /data/data/####/OpenComUpload-journal
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/a20e852ce4a54af1a6d43a398386b23b.0.tmp
- /data/data/####/a20e852ce4a54af1a6d43a398386b23b.1.tmp
- /data/data/####/bf19a676e0f0af3e2daa123114ccaf830176467fc3b6263....0.tmp
- /data/data/####/bugly_db_-journal
- /data/data/####/ce577bddbb7e898c52a1c81587d6fe45.0.tmp
- /data/data/####/ce577bddbb7e898c52a1c81587d6fe45.1.tmp
- /data/data/####/crashrecord.xml
- /data/data/####/d59e7.xml
- /data/data/####/e4f60432f9265f86374eb22b18253a6a6f16045ac5f0138....0.tmp
- /data/data/####/e96fa4f012d102e6b4a1aef1428ebf18da729046d37a72b....0.tmp
- /data/data/####/f706c349502b484c9d2fc186e56d6da6.0.tmp
- /data/data/####/f706c349502b484c9d2fc186e56d6da6.1.tmp
- /data/data/####/f73552480baa505740ad5f911aacffbc.0.tmp
- /data/data/####/f73552480baa505740ad5f911aacffbc.1.tmp
- /data/data/####/fb6e8375b93e328bf53e5114355f1a93abb77c568067ddf....0.tmp
- /data/data/####/ibuger.ckbdx-1.apk.classes673721026.zip
- /data/data/####/ibuger.ckbdx_preferences.xml
- /data/data/####/journal.tmp
- /data/data/####/libtencentloc.so
- /data/data/####/local_crash_lock
- /data/data/####/mob_commons_1.xml
- /data/data/####/mob_sdk_exception_1.xml
- /data/data/####/multidex.version.xml
- /data/data/####/native_record_lock
- /data/data/####/net.falvog.az.jar
- /data/data/####/pri_tencent_analysis.db-journal
- /data/data/####/s_oc_sp.xml
- /data/data/####/security_info
- /data/data/####/share_sdk_1.xml
- /data/data/####/sharesdk.db-journal
- /data/data/####/tencent_analysis.db-journal
- /data/data/####/webview.db-journal
- /data/media/####/.al
- /data/media/####/.ccLock
- /data/media/####/.ccc
- /data/media/####/.dh-journal
- /data/media/####/.dhlock
- /data/media/####/.dic_lock
- /data/media/####/.dk
- /data/media/####/.duid
- /data/media/####/.globalLock
- /data/media/####/.mid.txt
- /data/media/####/.nulal
- /data/media/####/.nulplt
- /data/media/####/.pkg_lock
- /data/media/####/.plst
- /data/media/####/.rcTag
- /data/media/####/.rc_lock
- /data/media/####/journal.tmp
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- /system/bin/sh -c getprop
- /system/bin/sh -c type su
- app_process /system/bin com.android.commands.pm.Pm list packages
- getprop
- grep -E -v root|shell|system
- pm list packages
- sh
- top -d 0 -n 1
Загружает динамические библиотеки:
- Bugly
- MtaNativeCrash
- neh
- tencentloc
- vi_voslib
Использует следующие алгоритмы для шифрования данных:
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- DES
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-NoPadding
- AES-GCM-NoPadding
- DES
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
