Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Dowgin.14.origin
- Adware.Dowgin.3.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) st####.mei####.net:80
- TCP(HTTP/1.1) tin####.c####.l####.####.com:80
- TCP(HTTP/1.1) gi.xi.g####.com:80
- TCP(HTTP/1.1) ap####.me####.cc:80
- TCP(HTTP/1.1) api.me####.cc:80
- TCP(HTTP/1.1) cd.md.c####.####.net:80
- TCP(HTTP/1.1) idu####.qini####.com:80
- TCP(HTTP/1.1) a####.m.ta####.com:80
- TCP(TLS/1.0) c####.im.ta####.com:443
- TCP(TLS/1.0) ti####.c####.l####.####.com:443
- TCP(TLS/1.0) api####.zhu####.com:443
- TCP(TLS/1.0) na61-####.wagbr####.ali####.####.com:443
Запросы DNS:
- a####.m.ta####.com
- ap####.me####.cc
- api####.zhu####.com
- api.me####.cc
- c####.im.ta####.com
- cd.md.c####.cn
- gi.xi.g####.com
- i####.ww.ta####.com
- im####.mei####.net
- s####.mei####.net
- s1.c.mei####.net
- s1.st.mei####.net
- st####.mei####.net
- to####.me####.cc
Запросы HTTP GET:
- cd.md.c####.####.net/offer/20171206/201712061752304.png
- cd.md.c####.####.net/offer/20171206/201712061752829.png
- cd.md.c####.####.net/offer/20181109/201811091511627.apk
- cd.md.c####.####.net/offer/20181204/201812041054759.png
- cd.md.c####.####.net/offer/20190115/201901151105265.png
- idu####.qini####.com/adm/additive/2016-03-25/56f4eede1ea0a.png
- idu####.qini####.com/adm/additive/2016-03-25/56f4ef9eb4617.jpg
- idu####.qini####.com/adm/additive/2016-04-12/570c91a079057.jpg
- idu####.qini####.com/adm/additive/2016-04-15/571092e7534aa.jpg
- idu####.qini####.com/app/open/jiuyang0914_750x1336.jpg
- idu####.qini####.com/data/upload/shop/store/goods/139/139_05422116940382...
- idu####.qini####.com/data/upload/shop/store/goods/197/197_05560427132405...
- idu####.qini####.com/shop/uploadfile/20161008/20161008123459.jpg
- st####.mei####.net/wap6/images/v6/fujinnew.png
- st####.mei####.net/wap6/images/v6/paihangbangnew.png
- st####.mei####.net/wap6/images/v6/quanbunew.png
- st####.mei####.net/wap6/images/v6/shipincaipunew.png
- st####.mei####.net/wap6/images/v6/zhinengzucainew.png
- tin####.c####.l####.####.com/p/20160415/0702aa3e098406c473737346a6a45006...
- tin####.c####.l####.####.com/p/20160415/45eb5cc927bbfb60254b633dfba8a28d...
- tin####.c####.l####.####.com/p/20160415/4b5269d5245d4c8a3fb814c9b04f532a...
- tin####.c####.l####.####.com/p/20190402/16f94938a6976d4091416c954c811181...
- tin####.c####.l####.####.com/p/20190402/1ad9015b6cf606bfd2b989a0b7300f30...
- tin####.c####.l####.####.com/p/20190402/2f52724f8b74264a9fa5de0d69b76cf5...
- tin####.c####.l####.####.com/p/20190402/44171a02d81ceab9d04b696e349bbb49...
- tin####.c####.l####.####.com/p/20190402/93f2df9d53ba17bba8732a69cbf56926...
- tin####.c####.l####.####.com/p/20190402/b01cfe8bb8dcb121b717c5d6e4874116...
- tin####.c####.l####.####.com/p/20190402/baa0fee149bac82bb921332d9c3cb103...
- tin####.c####.l####.####.com/p/20190402/bacce9bd46bd3bdc04e67814f3879d85...
- tin####.c####.l####.####.com/p/20190402/e0dee54a13b114f0d6479c5c32114305...
- tin####.c####.l####.####.com/p/20190402/e44177d3d7b586c58e05d9da5828b73f...
- tin####.c####.l####.####.com/p/20190402/ec5b6160766ee20a69d77352add5b479...
- tin####.c####.l####.####.com/p/20190402/f77a391843d2f8825923a391ca8a29e0...
Запросы HTTP POST:
- a####.m.ta####.com/rest/gc?dd=####&nsgs=####&ak=####&av=####&c=####&v=##...
- a####.m.ta####.com/rest/sur?ak=####&av=####&c=####&v=####&s=####&d=####&...
- ap####.me####.cc/android_version.php
- ap####.me####.cc/v5/packlist.php
- api.me####.cc/v5/index5.php?format=####
- api.me####.cc/v5/index_activity_icons.php?format=####
- api.me####.cc/v5/msg_num.php
- api.me####.cc/v5/show.php
- gi.xi.g####.com/28a8/gc6
- gi.xi.g####.com/28a8/hf1
- gi.xi.g####.com/28a8/j8f
- gi.xi.g####.com/28a8/k8f
- gi.xi.g####.com/28a8/l68
- gi.xi.g####.com/28a8/z28
- gi.xi.g####.com/31e1l
- gi.xi.g####.com/e117k
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-151507063-636408437
- /data/data/####/-158079558437409165
- /data/data/####/-176002274378823395
- /data/data/####/1554257388955c.jar
- /data/data/####/544524051-408777501
- /data/data/####/5bd32e4.xml
- /data/data/####/75e32e7f9.xml
- /data/data/####/8ca21.xml
- /data/data/####/Alvin2.xml
- /data/data/####/AppStore.xml
- /data/data/####/ContextData.xml
- /data/data/####/FlagDbFileWriteOK.xml
- /data/data/####/UTCommon.xml
- /data/data/####/UTMCConf-724388503.xml
- /data/data/####/UTMCConf259487607.xml
- /data/data/####/UTMCLog-724388503.xml
- /data/data/####/UTMCLog259487607.xml
- /data/data/####/_i-724388503.xml
- /data/data/####/_w-724388503.xml
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/com.bteatfoot.caipu4cfc5d6000164932a167e1f5e32f59bf.xml
- /data/data/####/com.bteatfoot.caipu;remote4cfc5d6000164932a167e...bf.xml
- /data/data/####/config.xml
- /data/data/####/data_package.xml
- /data/data/####/data_package_dvs.xml
- /data/data/####/data_package_md5.xml
- /data/data/####/data_package_name_map.xml
- /data/data/####/e0f51575.xml
- /data/data/####/meishi-journal
- /data/data/####/meishij8.db
- /data/data/####/mobclick_agent_cached_com.bteatfoot.caipu200
- /data/data/####/org.xsvyow.xplw.jar
- /data/data/####/privatemessage.xml
- /data/data/####/sp.lock
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_message_state.xml
- /data/data/####/umeng_socialize_qq.xml
- /data/data/####/ums_agent_online_setting_com.bteatfoot.caipu.xml
- /data/data/####/webview.db-journal
- /data/data/####/ywPrefsTools.xml
- /data/data/####/zhuge
- /data/data/####/zhuge-journal
- /data/media/####/-1060070086.tmp
- /data/media/####/-1168240581.tmp
- /data/media/####/-1251533947.tmp
- /data/media/####/-1256093366.tmp
- /data/media/####/-1442989503.tmp
- /data/media/####/-165987.tmp
- /data/media/####/-1878338417.tmp
- /data/media/####/-2012804826.tmp
- /data/media/####/-2083938344.tmp
- /data/media/####/-243515179.tmp
- /data/media/####/-272709885.tmp
- /data/media/####/-317625230.tmp
- /data/media/####/-424844282.tmp
- /data/media/####/-751251285.tmp
- /data/media/####/-846659215.tmp
- /data/media/####/-972381490.tmp
- /data/media/####/076ac23
- /data/media/####/1112974849.tmp
- /data/media/####/1153240073.tmp
- /data/media/####/1407038696.tmp
- /data/media/####/1421178080.tmp
- /data/media/####/1594982919.tmp
- /data/media/####/1784346204.tmp
- /data/media/####/1830565.tmp
- /data/media/####/1880052621.tmp
- /data/media/####/2040137415.tmp
- /data/media/####/2140607534.tmp
- /data/media/####/2acf101
- /data/media/####/342286541.tmp
- /data/media/####/35788103.tmp
- /data/media/####/485391906.tmp
- /data/media/####/6c709c11d2d46a7b
- /data/media/####/738740158.tmp
- /data/media/####/751366512.tmp
- /data/media/####/769651857.tmp
- /data/media/####/848556785.tmp
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/b7bc1d3
- /data/media/####/dd7893586a493dc3
- /data/media/####/fc000b6
- /data/media/####/jiuyang0914_750x1336
- /data/media/####/mfz.d
Другие:
Запускает следующие shell-скрипты:
- cat /proc/cpuinfo | grep Serial
- ls -l /system/xbin/su
Загружает динамические библиотеки:
- ijkffmpeg
- ijkplayer
- ijksdl
- securitysdk-3.1
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DES
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- DES
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Получает информацию о привязанных к устройству аккаунтах (Google, Facebook и т. д.).
Отрисовывает собственные окна поверх других приложений.
