Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Triada.319.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) www.radiomi####.com:80
- TCP(HTTP/1.1) i####.so####.com:80
- TCP(HTTP/1.1) bbcm####.ic.l####.net:80
- TCP(HTTP/1.1) 977m####.com:80
- TCP(HTTP/1.1) www.jazzr####.fr:80
- TCP(HTTP/1.1) dance####.online:80
- TCP(HTTP/1.1) www.radio-b####.info:80
- TCP(HTTP/1.1) www.planetr####.com:80
- TCP(HTTP/1.1) w####.ard.de:80
- TCP(HTTP/1.1) www.beatles####.com:80
- TCP(HTTP/1.1) www.bhjms-r####.de:80
- TCP(HTTP/1.1) www.deutsch####.de:80
- TCP(HTTP/1.1) n####.live:80
- TCP(HTTP/1.1) li####.tv:80
- TCP(HTTP/1.1) pla####.fluidst####.it:80
- TCP(SSL/3.0) www.m####.tk:443
- TCP(SSL/3.0) radio-v####.it:443
- TCP(SSL/3.0) www.phono####.de:443
- TCP(SSL/3.0) www.radiopa####.com:443
- TCP(TLS/1.0) up####.wikim####.org:443
- TCP(TLS/1.0) www.m####.tk:443
- TCP(TLS/1.0) i3.radio####.com:443
- TCP(TLS/1.0) static-####.str####.com:443
- TCP(TLS/1.0) 1####.217.20.78:443
- TCP(TLS/1.0) radio-v####.it:443
- TCP(TLS/1.0) onlines####.hu:443
- TCP(TLS/1.0) upstrea####.radio####.com:443
- TCP(TLS/1.0) www.deutsch####.de:443
- TCP(TLS/1.0) encrypt####.gst####.com:443
- TCP(TLS/1.0) www.radiopa####.com:443
- TCP(TLS/1.0) so####.com:443
- TCP(TLS/1.0) cdn-rad####.tu####.com:443
- TCP(TLS/1.0) www.phono####.de:443
- TCP(TLS/1.0) lh4.googleu####.com:443
Запросы DNS:
- 977m####.com
- acc####.thefunn####.com
- bbcm####.ic.l####.net
- blissr####.org
- cdn-rad####.tu####.com
- dance####.online
- encrypt####.gst####.com
- i####.so####.com
- i3.radio####.com
- lh4.googleu####.com
- li####.tv
- n####.live
- onlines####.hu
- pla####.fluidst####.it
- radio-v####.it
- secur####.stit####.com
- so####.com
- static-####.str####.com
- u####.com.au
- up####.wikim####.org
- upstrea####.radio####.com
- w####.ard.de
- www.beatles####.com
- www.bhjms-r####.de
- www.deutsch####.de
- www.deutsch####.de
- www.jazzr####.fr
- www.m####.tk
- www.phono####.de
- www.planetr####.com
- www.radio-b####.info
- www.radiomi####.com
- www.radiopa####.com
Запросы HTTP GET:
- 977m####.com/images/logo.gif
- bbcm####.ic.l####.net/stream/bbcmedia_radio1_mf_p
- dance####.online/dw-logo_s.png
- i####.so####.com/groovesalad-128-mp3
- li####.tv/img/2494.jpg
- n####.live/uploads/19/1-1Z3201K6245c.jpg
- n####.live/uploads/19/1-1Z32G91102103.jpg
- pla####.fluidst####.it/RadioBiancoNera/icon.png
- w####.ard.de/static/imp/radionet_responsive/swr_swr3.png
- w####.ard.de/static/imp/radionet_responsive/wdr_wdr5.png
- www.beatles####.com/content/images/thumbs/0000587.gif
- www.bhjms-r####.de/wp-content/uploads/2017/01/cropped-175-x-175-ROT-270x...
- www.deutsch####.de/themes/dradio/icons/dlf/favicon-196x196.png
- www.jazzr####.fr/media/radio/blues.png
- www.planetr####.com//images/other-channels/other-gallery/gallery-hindi-c...
- www.radio-b####.info/webservice/v2/json/url/41976
- www.radio-b####.info/webservice/v2/json/url/64094
- www.radio-b####.info/webservice/v2/json/url/87600
- www.radio-b####.info/webservice/v2/json/url/96789
- www.radiomi####.com/favicon.ico
Запросы HTTP POST:
- www.radio-b####.info/webservice/json/stations/lastchange/100
- www.radio-b####.info/webservice/json/stations/topclick/100
- www.radio-b####.info/webservice/json/stations/topvote/100
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/SharedPreferences_cache.xml
- /data/data/####/com.google.android.gms.appid-no-backup
- /data/data/####/com.google.android.gms.appid.xml
- /data/data/####/com.google.android.gms.measurement.prefs.xml
- /data/data/####/com.mgyun.shua.su_preferences.xml
- /data/data/####/com.secneo.tmp
- /data/data/####/conf.xml.xml
- /data/data/####/error
- /data/data/####/errorold
- /data/data/####/http_977music_com_images_logo_gif.dat
- /data/data/####/http_dancewave_online_dw_logo_s_png.dat
- /data/data/####/http_nettv_live_uploads_19_1_1Z3201K6245c_jpg.dat
- /data/data/####/http_nettv_live_uploads_19_1_1Z32G91102103_jpg.dat
- /data/data/####/http_players_fluidstream_it_RadioBiancoNera_icon_png.dat
- /data/data/####/http_web_ard_de_static_imp_radionet_responsive_...ng.dat
- /data/data/####/http_www_beatlesradio_com_content_images_thumbs...if.dat
- /data/data/####/http_www_bhjms_radio_de_wp_content_uploads_2017...pg.dat
- /data/data/####/http_www_deutschlandfunk_de_themes_dradio_icons...ng.dat
- /data/data/####/http_www_jazzradio_fr_media_radio_blues_png.dat
- /data/data/####/https_cdn_radiotime_logos_tunein_com_s165590q_png.dat
- /data/data/####/https_cdn_radiotime_logos_tunein_com_s24939q_png.dat
- /data/data/####/https_cdn_radiotime_logos_tunein_com_s254166q_png.dat
- /data/data/####/https_encrypted_tbn1_gstatic_com_images_q_tbn_A...aQ.dat
- /data/data/####/https_i3_radionomy_com_radios_400_e998fade_5c2a...ue.dat
- /data/data/####/https_onlinestream_hu_logos_5391_png.dat
- /data/data/####/https_secureimg_stitcher_com_feedimagesplain328...pg.dat
- /data/data/####/https_somafm_com_img3_groovesalad_400_jpg.dat
- /data/data/####/https_static_media_streema_com_media_cache_9c_a...pg.dat
- /data/data/####/https_upload_wikimedia_org_wikipedia_commons_th...ng.dat
- /data/data/####/https_www_deutschlandfunknova_de_apple_touch_ic...ng.dat
- /data/data/####/qbxjyhVump
- /data/data/####/runtime
- /data/data/####/secData.dex
- /data/data/####/secData.dve
- /data/data/####/secData.jar
- /data/data/####/www_radio_browser_info_webservice_json_stations...ck_100
- /data/data/####/www_radio_browser_info_webservice_json_stations...ge_100
- /data/data/####/www_radio_browser_info_webservice_json_stations...te_100
- /data/data/####/www_radio_browser_info_webservice_v2_json_url_41976
- /data/data/####/www_radio_browser_info_webservice_v2_json_url_64094
- /data/data/####/www_radio_browser_info_webservice_v2_json_url_87600
- /data/data/####/www_radio_browser_info_webservice_v2_json_url_96789
- /data/media/####/pureSdk
Другие:
Запускает следующие shell-скрипты:
- ps |grep sysser
Загружает динамические библиотеки:
- SecShell
- native-lib
- qbxjyhVump
Использует следующие алгоритмы для расшифровки данных:
- DES
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
