Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.155.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) g####.dftou####.com:80
- TCP(HTTP/1.1) gl####.w.kunl####.####.com:80
- TCP(HTTP/1.1) www.go####.com:80
- TCP(HTTP/1.1) r####.uu.qq.com:80
- TCP(HTTP/1.1) si####.jom####.com:80
- TCP(HTTP/1.1) www.m####.com:80
- TCP(HTTP/1.1) api.meme####.com:80
- TCP(HTTP/1.1) d####.m####.com:80
- TCP(HTTP/1.1) em.b####.com:80
- TCP(HTTP/1.1) zt-adfi####.oss-cn-####.aliy####.com:80
- TCP(TLS/1.0) gl####.w.kunl####.####.com:443
- TCP(TLS/1.0) repor####.dftou####.com:443
- TCP(TLS/1.0) m.tt.vip-dns####.com:443
- TCP(TLS/1.0) em.b####.com:443
- TCP(TLS/1.0) 07img####.eas####.com.####.com:443
- TCP(TLS/1.0) c####.baidust####.com:443
- TCP(TLS/1.0) wn.pos.b####.com:443
- TCP(TLS/1.0) tou####.eas####.com:443
- TCP(TLS/1.0) m####.eas####.com:443
- TCP(TLS/1.0) ec####.b####.com:443
- TCP(TLS/1.0) softw####.dftou####.com:443
- TCP(TLS/1.0) pos.b####.com:443
- TCP(TLS/1.0) g####.dftou####.com:443
- TCP(TLS/1.0) regi####.xm####.xi####.com:443
- TCP(TLS/1.0) wapac####.dftou####.com:443
- TCP(TLS/1.0) hm.b####.com:443
- TCP(TLS/1.0) s####.dftou####.com:443
- TCP(TLS/1.0) si####.jom####.com:443
- TCP(TLS/1.0) posi####.dftou####.com:443
Запросы DNS:
- 02img####.eas####.com
- 05img####.eas####.com
- 07img####.eas####.com
- 08img####.eas####.com
- api.meme####.com
- c####.baidust####.com
- c####.meme####.com
- d####.m####.com
- ds####.dftou####.com
- ec####.b####.com
- em.b####.com
- f11.b####.com
- f12.b####.com
- g####.dftou####.com
- hm.b####.com
- img.safetys####.mobi
- img.su####.com
- m####.eas####.com
- m.t####.cn
- mo####.b####.com
- pos.b####.com
- posi####.dftou####.com
- r####.uu.qq.com
- regi####.xm####.xi####.com
- repor####.dftou####.com
- s####.dftou####.com
- softw####.dftou####.com
- t10.b####.com
- t11.b####.com
- t12.b####.com
- tou####.eas####.com
- wapac####.dftou####.com
- wn.pos.b####.com
- ws.meme####.com
- www.go####.com
- www.m####.com
- zt-adfi####.oss-cn-####.aliy####.com
Запросы HTTP GET:
- api.meme####.com/activity/packet_list
- api.meme####.com/app/index
- api.meme####.com/properties/list
- api.meme####.com/public/blackword_list/0
- api.meme####.com/public/blackword_list/1
- api.meme####.com/public/inform?size=####&type=####
- api.meme####.com/public/poster/2
- api.meme####.com/public/room_list?page=####&live=####&size=####&sort=####
- api.meme####.com/public/t_hex
- api.meme####.com/show/bell_gift_list
- api.meme####.com/show/cars_list
- api.meme####.com/show/gift_list
- api.meme####.com/zone/mission_num
- d####.m####.com/Resource/UserFile/20895787b264424b82f391a93e282d82.jpg
- d####.m####.com/Resource/UserFile/oUd8DwuuEKPbjyW_Bv15wRLMKzIc.jpg
- em.b####.com/pixel?media_sign=####&media_site=####
- g####.dftou####.com/lkwusv/z?c=####
- g####.dftou####.com/m.html?mediaid=####&cookie_version=####×tamp=##...
- gl####.w.kunl####.####.com/11/3/1493376936139.jpg
- gl####.w.kunl####.####.com/12/4/1438840897548.jpg
- gl####.w.kunl####.####.com/12/4/1495002759820.jpg
- gl####.w.kunl####.####.com/13/5/1429582714317.jpg
- gl####.w.kunl####.####.com/13/5/1461739023373.jpg
- gl####.w.kunl####.####.com/18/2/1433988334482.jpg
- gl####.w.kunl####.####.com/20/4/1433988048788.jpg
- gl####.w.kunl####.####.com/20/4/1441537079572.jpg
- gl####.w.kunl####.####.com/20/4/1492536061844.jpg
- gl####.w.kunl####.####.com/21/5/1441591456725.jpg
- gl####.w.kunl####.####.com/21/5/1492523049237.jpg
- gl####.w.kunl####.####.com/22/6/1415844433046.jpg
- gl####.w.kunl####.####.com/24/0/1493376950232.jpg
- gl####.w.kunl####.####.com/27/3/1493376962459.jpg
- gl####.w.kunl####.####.com/28/4/1464341461148.jpg
- gl####.w.kunl####.####.com/3/3/1438841119811.jpg
- gl####.w.kunl####.####.com/32/0/1418008953056.jpg
- gl####.w.kunl####.####.com/34/2/1404113259106.jpg
- gl####.w.kunl####.####.com/35/3/1490841105507.jpg
- gl####.w.kunl####.####.com/35/3/1492522643811.jpg
- gl####.w.kunl####.####.com/35/3/1492534807267.jpg
- gl####.w.kunl####.####.com/35/3/1498551790819.jpg
- gl####.w.kunl####.####.com/36/4/1404114408036.jpg
- gl####.w.kunl####.####.com/36/4/1478766324580.jpg
- gl####.w.kunl####.####.com/36/4/1492522102308.jpg
- gl####.w.kunl####.####.com/36/4/1493376841764.jpg
- gl####.w.kunl####.####.com/37/5/1404114756837.jpg
- gl####.w.kunl####.####.com/37/5/1486453235941.jpg
- gl####.w.kunl####.####.com/38/6/1441877346406.jpg
- gl####.w.kunl####.####.com/38/6/1485166714022.jpg
- gl####.w.kunl####.####.com/38/6/1492522828390.jpg
- gl####.w.kunl####.####.com/41/1/1492522470441.jpg
- gl####.w.kunl####.####.com/42/2/1404113474090.jpg
- gl####.w.kunl####.####.com/42/2/1492522519786.jpg
- gl####.w.kunl####.####.com/43/3/1415844338219.jpg
- gl####.w.kunl####.####.com/44/4/1492522983532.jpg
- gl####.w.kunl####.####.com/44/4/1493376914860.jpg
- gl####.w.kunl####.####.com/45/5/1493376975533.jpg
- gl####.w.kunl####.####.com/5/5/1493376857477.jpg
- gl####.w.kunl####.####.com/51/3/1404113662771.jpg
- gl####.w.kunl####.####.com/53/5/1404113732021.jpg
- gl####.w.kunl####.####.com/53/5/1442214601781.jpg
- gl####.w.kunl####.####.com/55/7/1443428879607.jpg
- gl####.w.kunl####.####.com/58/2/1441959947962.jpg
- gl####.w.kunl####.####.com/6/6/1432694554502.jpg
- gl####.w.kunl####.####.com/63/7/1443428799487.jpg
- gl####.w.kunl####.####.com/9/1/1422624662729.jpg
- gl####.w.kunl####.####.com/9/1/1441879794057.jpg
- si####.jom####.com/it/u=2645196208,4204431519&fm=76
- si####.jom####.com/it/u=2893010960,802921677&fm=76
- si####.jom####.com/it/u=3275779334,303074026&fm=76
- www.go####.com/complete/search?hl=####&client=####&q=####
- www.m####.com/Resource/Fonts/kitty猫咪.jpg
- www.m####.com/Resource/Fonts/pop字体.jpg
- www.m####.com/Resource/Fonts/华康中黑字体.jpg
- www.m####.com/Resource/Fonts/华康勘亭流.jpg
- www.m####.com/Resource/Fonts/华康娃娃体.jpg
- www.m####.com/Resource/Fonts/华康少女全特符.jpg
- www.m####.com/Resource/Fonts/华康少女字体.jpg
- www.m####.com/Resource/Fonts/华康海报体q版.jpg
- www.m####.com/Resource/Fonts/华文中宋.jpg
- www.m####.com/Resource/Fonts/华文彩云.jpg
- www.m####.com/Tools/GetWeather.aspx?mobile=####&city=####&info=####&sysi...
- www.m####.com/Tools/GetWeather.aspx?try=####&mobile=####&city=####&info=...
- www.m####.com/home.aspx?flag=####
- www.m####.com/resource/AdList/76042477.png
- www.m####.com/resource/AdList/917926297.png
- www.m####.com/tools/GetSearchKeyList.aspx?pagesize=####
- www.m####.com/tools/getadlist.aspx
- www.m####.com/tools/getcity.aspx
- zt-adfi####.oss-cn-####.aliy####.com/1512/rt/gx.bin
Запросы HTTP POST:
- r####.uu.qq.com/rqd/sync
- www.m####.com/api/getArticleList.aspx
- www.m####.com/tools/GetFontList.aspx?page=####&pagesize=####
- www.m####.com/tools/GetVersionEx.aspx
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.engine.apk
- /data/data/####/.key.apk
- /data/data/####/0e38dbb15bc010ce3ca971ac241647060dd0330168181fd....0.tmp
- /data/data/####/0f8a1a6fbb9f440cd95e904d121e1ab0038e4f5cdae5dc3....0.tmp
- /data/data/####/1b15497039593ba2c20e79837efd92634f24f723a89868e....0.tmp
- /data/data/####/2ceb832fa57aca7a93fb32cf635bfd04cf1cbcfc03af968....0.tmp
- /data/data/####/4d5ee5fc30de905e5f7d4999768b09c0718fa288f902c0d....0.tmp
- /data/data/####/559fe6eb2c5a3c8119406c0a6217b91e75ac3af8c889c44....0.tmp
- /data/data/####/75431f337f3b0731658dcc45a239126d639688ca1ad3871....0.tmp
- /data/data/####/8826feb6525774444257a4fcbfa463b532a49089b2fb147....0.tmp
- /data/data/####/9005416eedf1b2fab3d202960178e0944a759b14b1738ca....0.tmp
- /data/data/####/9c7b1307c75db11521c9fe8ce49810ec8cf89c40e37ee4f....0.tmp
- /data/data/####/AllRoomList
- /data/data/####/BANNER
- /data/data/####/BELL_GIFT_LIST
- /data/data/####/CHEST_GIFT_LIST
- /data/data/####/CobubRazor_SharedPref.xml
- /data/data/####/GIFT_LIST
- /data/data/####/MISSION_COUNT
- /data/data/####/MOUNT_MALL
- /data/data/####/PLAZA_DATA
- /data/data/####/PROPERTIES_LIST
- /data/data/####/RED_PACKET_LIST
- /data/data/####/WebpageIcons.db-journal
- /data/data/####/WebpageIcons.db-journal (deleted)
- /data/data/####/__x_adsdk_agent_header__.xml
- /data/data/####/__xadsdk__remote__final__builtin__.jar
- /data/data/####/ae4b85bb32ad53d7cf8b285791fb345b2b4b1467a385d98....0.tmp
- /data/data/####/android_pre.xml
- /data/data/####/bef055818e974ffa94fa0e7d5dc4bf0b1fe4191c93a0c97....0.tmp
- /data/data/####/bugly_db_-journal
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/ce2fd366b5c67483e73a7296cf5b20b78c0df7db7a3f012....0.tmp
- /data/data/####/cf019a522d6040ac72c204c505cad14ea221719a9397149....0.tmp
- /data/data/####/cobub.cache
- /data/data/####/com.baidu.mobads.loader.xml
- /data/data/####/com.mobilewindow_Cartoon_preferences.xml
- /data/data/####/commobilewindow_Cartoon
- /data/data/####/config.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/e4ef0ad2bf6e08e79aa18957ee58fb1458439413b26d7ea....0.tmp
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/f_00000b
- /data/data/####/f_00000c
- /data/data/####/f_00000d
- /data/data/####/f_00000e
- /data/data/####/f_00000f
- /data/data/####/f_000010
- /data/data/####/f_000011
- /data/data/####/f_000012
- /data/data/####/f_000013
- /data/data/####/f_000014
- /data/data/####/f_000015
- /data/data/####/flag
- /data/data/####/gx
- /data/data/####/index
- /data/data/####/journal.tmp
- /data/data/####/last_cache_time
- /data/data/####/launcher.db-journal
- /data/data/####/launcher.preferences
- /data/data/####/libcrypt.so
- /data/data/####/libloader.so
- /data/data/####/mipush.xml
- /data/data/####/mipush_extra.xml
- /data/data/####/mobclick_agent_cached_com.mobilewindow_Cartoon20160812
- /data/data/####/shell_pre.xml
- /data/data/####/show.db-journal
- /data/data/####/temp.jar
- /data/data/####/umeng_general_config.xml
- /data/data/####/updateVersion2.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/media/####/.commobilewindow_Cartoon
- /data/media/####/.nomedia
- /data/media/####/03c74f856738cca9a2588caeb9b4dd44.tmp
- /data/media/####/0917fc2ee5214b7f3e391c2e86c42d4d.tmp
- /data/media/####/0ccb5114363c1aaff0eae438830d8e41.tmp
- /data/media/####/0cf7eb48e5a21c45c4ad8dddd2cebb4b.tmp
- /data/media/####/0e579c1f83862120111ec7d9936be902.tmp
- /data/media/####/128411de7293bbaf25fd1e2eeb22e09b.tmp
- /data/media/####/16fe23ab70e74be86f27e58207a1ddd8.tmp
- /data/media/####/180cd43f832265830158df87b77d7cca.tmp
- /data/media/####/1dc7a0c51b797e0dea56e1a0b734cd3e.tmp
- /data/media/####/20b0b26a0dd17c5064d2bf33cf383712.tmp
- /data/media/####/2731d07352df098f25feb14fa55b8f57.tmp
- /data/media/####/2rw256y7o15qe9rqgk7qonvxz
- /data/media/####/2rw256y7o15qe9rqgk7qonvxz.tmp
- /data/media/####/308a0c0486e05b5d8a973d7cacc588e7.tmp
- /data/media/####/320d82846c2cf1dab04df103b759f5ca.tmp
- /data/media/####/33d519f1215a99a875903b1fd59c4813.tmp
- /data/media/####/3bf015aabfe0b451c30e16bba52c6f5a.tmp
- /data/media/####/405ab30c6b21d3733b1e12127ed30378.tmp
- /data/media/####/43e23fd3b22079b6e73f28dbe19bf2cd.tmp
- /data/media/####/44b4a13839bc2f8462c3a0f57557495f.tmp
- /data/media/####/45ke9psisp8ofwne9e9wulsz2
- /data/media/####/45ke9psisp8ofwne9e9wulsz2.tmp
- /data/media/####/499f9e322cfaf69bdcc7f0f06d9517c6.tmp
- /data/media/####/4c56e1dad7e1f82ca93de1aaf3e66881.tmp
- /data/media/####/4zj4lul7kpfsk6i3axns970x4
- /data/media/####/4zj4lul7kpfsk6i3axns970x4.tmp
- /data/media/####/53d94704583f9063c57fceed7e21677a.tmp
- /data/media/####/5643d254841aea1ff23d34afcd2081bc.tmp
- /data/media/####/5s4jd6u7hanlzvv3wkx5b3jfz
- /data/media/####/5s4jd6u7hanlzvv3wkx5b3jfz.tmp
- /data/media/####/68cd67bc014b1a54833bfe65d5545cbc.tmp
- /data/media/####/6a019540417a59b840209d1230184833.tmp
- /data/media/####/6de519f204d879d284de5d86a477802a.tmp
- /data/media/####/6e2535ea7770752a1ece767978de1eee.tmp
- /data/media/####/72662756908852a94eb40822a8630247.tmp
- /data/media/####/75ee156057572a33ab32fe53d414bb37.tmp
- /data/media/####/7670a6b9fe7c6b592de28d37daacadb5.tmp
- /data/media/####/7ae482dd76ed0849bea93a88216e1ef9.tmp
- /data/media/####/7ee0bd8f0911d5964fc742be3c06d03c.tmp
- /data/media/####/7f88bf23ed2553374459b7e85b6b77d2.tmp
- /data/media/####/85978a1c842df644fe48ad56c5000226.tmp
- /data/media/####/860b9a3c411f5d53aee22e2fa20b80d1.tmp
- /data/media/####/90be580bc57afaa38d8abb0767ce6c8c.tmp
- /data/media/####/97dd6d8c02250ce39684e659d1af4931.tmp
- /data/media/####/99675d541f64ff97d2451074ba7e1e3c.tmp
- /data/media/####/a7d722cc15e9a3cecdb9bca6ff732cc4.tmp
- /data/media/####/ac95960639dbe65e89f6121d79179673.tmp
- /data/media/####/adeaebab2c8faf6e568bb2face23474d.tmp
- /data/media/####/aeacda196cc9caad6b64506faefd627b.tmp
- /data/media/####/b26ebc9544eeeec66da58301450179c8.tmp
- /data/media/####/b7a96615940050395f3ea2bad4458514.tmp
- /data/media/####/c1c5b67911ebe81179e65bffee0f2f7d.tmp
- /data/media/####/c5d9bc25f1f261420a5213488061da3c.tmp
- /data/media/####/e99dadf4f1540239db837d97bd768b2f.tmp
- /data/media/####/ee27e2c1c682ed0601bc63795ea64698.tmp
- /data/media/####/f9e292f0095241478995853c022816d0.tmp
- /data/media/####/sys_nicholas.txt
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.board.platform
- cat /proc/version
- cat /sys/class/net/wlan0/address
- chmod 777 <Package Folder>/files/gxTmp
- chmod 777 <Package Folder>/files/gxTmp/gx
- getprop ro.board.platform
Загружает динамические библиотеки:
- Bugly
- crypt
- libloader
- msc
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
- DES
- DES-CBC-PKCS5Padding
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Получает информацию о телефонных контактах.
