Android.RemoteCode.4314

Техническая информация

Вредоносные функции:

Выполняет код следующих детектируемых угроз:

Android.RemoteCode.127.origin

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) a####.exc.mob.com:80
TCP(HTTP/1.1) api.won####.com:80
TCP(HTTP/1.1) and####.b####.qq.com:80
TCP(HTTP/1.1) ti####.c####.l####.####.com:80
TCP(TLS/1.0) api.map.b####.com:443
TCP(TLS/1.0) api.s####.com:443
TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
TCP(TLS/1.0) loc.map.b####.com:443

Запросы DNS:

a####.exc.mob.com
and####.b####.qq.com
api.map.b####.com
api.s####.com
api.won####.com
img.won####.com
loc.map.b####.com
plb####.u####.com
u####.u####.com

Запросы HTTP GET:

ti####.c####.l####.####.com/userfiles/image/20180804/0415170446fb01b7b25...
ti####.c####.l####.####.com/userfiles/image/20180815/15180341a1ef7e3a9d8...
ti####.c####.l####.####.com/userfiles/image/20180929/29164928bf7f7632937...
ti####.c####.l####.####.com/userfiles/image/20180930/30113133a66e28e2e15...
ti####.c####.l####.####.com/userfiles/image/20181128/28141204853dbb75eb2...
ti####.c####.l####.####.com/userfiles/image/20181203/0313485626e3d572494...
ti####.c####.l####.####.com/userfiles/image/20181218/1816545941459c21684...
ti####.c####.l####.####.com/userfiles/image/20181220/20103707c8a963180e2...
ti####.c####.l####.####.com/userfiles/image/20181220/20110044000a73149a8...
ti####.c####.l####.####.com/userfiles/image/20190107/07175349571b96fdb09...
ti####.c####.l####.####.com/userfiles/image/20190107/0717594602f654b7b43...
ti####.c####.l####.####.com/userfiles/image/20190214/14102902c719c212453...
ti####.c####.l####.####.com/userfiles/image/20190220/201119364b17bed9a95...
ti####.c####.l####.####.com/userfiles/images/a5mbp0odr35a5mbp0odr35.jpg
ti####.c####.l####.####.com/userfiles/images/d0vq5jjqzeod0vq5jjqzeo.jpg
ti####.c####.l####.####.com/userfiles/images/x100cb44uujx100cb44uuj.jpg
ti####.c####.l####.####.com/userfiles/images/xv3kfukbev2xv3kfukbev2.jpg

Запросы HTTP POST:

a####.exc.mob.com/errconf
and####.b####.qq.com/rqd/async
and####.b####.qq.com/rqd/async?aid=####
api.won####.com/api/v1/developer/brands
api.won####.com/api/v1/houses/search?area_id=####&page=####
api.won####.com/api/v1/planner?page=####&area_id=####&api_token=####
api.won####.com/api/v1/public/acreage/list
api.won####.com/api/v1/public/app/version?type=####
api.won####.com/api/v1/public/areas
api.won####.com/api/v1/public/areas/business?area_id=####
api.won####.com/api/v1/public/broadcast
api.won####.com/api/v1/public/feature/list?area_id=####
api.won####.com/api/v1/public/house/price/list?area_id=####
api.won####.com/api/v1/public/house/types
api.won####.com/api/v1/public/sale/status/list
api.won####.com/api/v1/public/slide?area_id=####
api.won####.com/api/v1/public/type/list
api.won####.com/api/v1?area_id=####

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/-1106445582
/data/data/####/-1115058732
/data/data/####/-1821612606
/data/data/####/-569690973
/data/data/####/-889919583
/data/data/####/-890492684
/data/data/####/.duid
/data/data/####/.imprint
/data/data/####/.lock
/data/data/####/.vpl_lock
/data/data/####/0340da74d9d4fec5686bebd3d6303e1464bb02770e7a522....0.tmp
/data/data/####/08ff28255f6d6843dda1cedf20411baf08448251742aa28...7aad.0
/data/data/####/0fb6dbdd9ba53f35cf725bc9b6bcbc6a7376f2f87eb1fb9....0.tmp
/data/data/####/1004
/data/data/####/109526449
/data/data/####/1112798511
/data/data/####/1374173782
/data/data/####/1990137437
/data/data/####/2a698c6bbc05953a9a945b8cbc1036bfa825e23a07e7291....0.tmp
/data/data/####/2dada1c500864b21b81c39a58aab1d003e453f3807e81af....0.tmp
/data/data/####/31171cf1fc5c45fd1635c4021759cca2e1a912a68f3a097....0.tmp
/data/data/####/35df36faa517ea560311c99c69cf4362b91d8c02a3c2df3....0.tmp
/data/data/####/3963e2d6960adf4e61aa5ecb5c3809730147195d85c4fb6....0.tmp
/data/data/####/3c90326f06cf36b7b14d282f7280789deda00cbc04a1896....0.tmp
/data/data/####/430f460a9e5d9616045d9fff0e1c17d6aff9d153578b5f7....0.tmp
/data/data/####/4a901f765f2fa6127596cb46b4364eb3b8ea85255c7d9af....0.tmp
/data/data/####/50a3029effc0a73d7a5958463e2a49fce1fa520a1ce87d3....0.tmp
/data/data/####/5229bb075eb9a407b568d5b1ba8d26319c50446e00c1770....0.tmp
/data/data/####/52faa38e71534b7de3cfce23bbfd3af4d76a493a67908e6....0.tmp
/data/data/####/58c6be0179c2aacd037deeba0f95d816f0b0589c17d6e40....0.tmp
/data/data/####/669066272
/data/data/####/70203c3514dd0b1155593a23f2506a9c56ef1bfeb9ef5de....0.tmp
/data/data/####/7e624cc7cf6e356d40a038cbdf7c808d94d072fa43ffcac....0.tmp
/data/data/####/8b2fb277fcdee61b76420528e80831db21c410de265822c....0.tmp
/data/data/####/905248af806afd8bcf21627e218a1a1091050088799da5f....0.tmp
/data/data/####/921c8d8dca7dbbb96938a1139143d2279a61f89d9f95686....0.tmp
/data/data/####/951bbc7f943013a9e2b80892b3c953d63675c0e927c39ec....0.tmp
/data/data/####/978964fb0e9451c3c150aa3aa53df67fb478ffb84380921....0.tmp
/data/data/####/9b3a43a809571320eec8cd282be976026153fbe146c19cd....0.tmp
/data/data/####/ThrowalbeLog.db-journal
/data/data/####/UM_PROBE_DATA.xml
/data/data/####/a==7.5.4&&1.0.1_1554421999674_envelope.log
/data/data/####/af0cc70fecd9f1a5f5913537ed8f8f9f3f695a706ec8df1....0.tmp
/data/data/####/afdd29856b245da740b0d82d85e8b4dc34c6c2d4f9cf87c....0.tmp
/data/data/####/authStatus_com.mgmt.woniuge.xml
/data/data/####/authStatus_com.mgmt.woniuge;remote.xml
/data/data/####/bugly_db_-journal
/data/data/####/bugly_db_legu-journal
/data/data/####/c0c9aaf5dbaa2a26c53797c96aab262e7e98b166efc7ea4....0.tmp
/data/data/####/cac6dc7c443e2d7790b1408478c9df922c8db1ace109d88....0.tmp
/data/data/####/ccbc231047231b23dbf42abad9f61ca80ff9036f73044a9....0.tmp
/data/data/####/crashrecord.xml
/data/data/####/d690537e3165b79233097770271c394f8c42a322038482b....0.tmp
/data/data/####/d9512c3efd4f27756577be30d6cf1344f7b5e91985a671b....0.tmp
/data/data/####/dW1weF9pbnRlcm5hbF8xNTU0NDIxOTk4NDgz;
/data/data/####/dd3ee57a4839659ea5b69ef7216778bb64f40543db1395e....0.tmp
/data/data/####/dd6d8b2f800931cfe1a4ad5471687868b16b7f1d4328a5d....0.tmp
/data/data/####/domain_1
/data/data/####/e61759f75ef945972ddb8e989ca70eb181ac3974dac2fa7....0.tmp
/data/data/####/exchangeIdentity.json
/data/data/####/exid.dat
/data/data/####/fe039fea0f07a765bfc6788e016e9b502b80e1d06fd1b96....0.tmp
/data/data/####/firll.dat
/data/data/####/hst.db
/data/data/####/hst.db-journal
/data/data/####/i==1.2.0&&1.0.1_1554421998537_envelope.log
/data/data/####/info.xml
/data/data/####/journal
/data/data/####/journal.tmp
/data/data/####/libcuid.so
/data/data/####/libshella-2.9.0.2.so
/data/data/####/libufix.so
/data/data/####/local_crash_lock
/data/data/####/mix.dex
/data/data/####/mob_commons_1
/data/data/####/mob_sdk_exception_1
/data/data/####/native_record_lock
/data/data/####/security_info
/data/data/####/sobot_chat_20190404_log.txt
/data/data/####/sobot_config.xml
/data/data/####/ua.db
/data/data/####/ua.db-journal
/data/data/####/um_pri.xml
/data/data/####/umdat.xml
/data/data/####/umeng_common_config.xml
/data/data/####/umeng_common_location.xml
/data/data/####/umeng_general_config.xml
/data/data/####/umeng_it.cache
/data/data/####/wng_sp.xml
/data/media/####/.a.dat
/data/media/####/.adfwe.dat
/data/media/####/.artc_lock
/data/media/####/.cca.dat
/data/media/####/.cuid2
/data/media/####/.di
/data/media/####/.dic_lock
/data/media/####/.duid
/data/media/####/.globalLock
/data/media/####/.im_lock
/data/media/####/.lesd_lock
/data/media/####/.mn_-1464060969
/data/media/####/.nomedia
/data/media/####/.pkg_lock
/data/media/####/.pkgs_lock
/data/media/####/.rc_lock
/data/media/####/.slw
/data/media/####/.ss_lock
/data/media/####/.umm.dat
/data/media/####/yoh.dat
/data/media/####/yol.dat
/data/media/####/yom.dat

Другие:

Запускает следующие shell-скрипты:

/system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
/system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
/system/bin/sh -c getprop
/system/bin/sh -c getprop ro.aa.romver
/system/bin/sh -c getprop ro.board.platform
/system/bin/sh -c getprop ro.build.fingerprint
/system/bin/sh -c getprop ro.build.nubia.rom.name
/system/bin/sh -c getprop ro.build.rom.id
/system/bin/sh -c getprop ro.build.tyd.kbstyle_version
/system/bin/sh -c getprop ro.build.version.emui
/system/bin/sh -c getprop ro.build.version.opporom
/system/bin/sh -c getprop ro.gn.gnromvernumber
/system/bin/sh -c getprop ro.lenovo.series
/system/bin/sh -c getprop ro.lewa.version
/system/bin/sh -c getprop ro.meizu.product.model
/system/bin/sh -c getprop ro.miui.ui.version.name
/system/bin/sh -c getprop ro.vivo.os.build.display.id
/system/bin/sh -c type su
cat /sys/class/net/wlan0/address
chmod 700 <Package Folder>/tx_shell/libnfix.so
chmod 700 <Package Folder>/tx_shell/libshella-2.9.0.2.so
chmod 700 <Package Folder>/tx_shell/libufix.so
getprop ro.aa.romver
getprop ro.board.platform
getprop ro.build.fingerprint
getprop ro.build.nubia.rom.name
getprop ro.build.rom.id
getprop ro.build.tyd.kbstyle_version
getprop ro.build.version.emui
getprop ro.build.version.opporom
getprop ro.gn.gnromvernumber
getprop ro.lenovo.series
getprop ro.lewa.version
getprop ro.meizu.product.model
getprop ro.miui.ui.version.name
getprop ro.vivo.os.build.display.id
getprop ro.yunos.version
logcat -d -v threadtime
ls /
ls /sys/class/thermal

Загружает динамические библиотеки:

BaiduMapSDK_base_v5_2_1
Bugly
libnfix
libshella-2.9.0.2
libufix
locSDK7b
nfix
ufix

Использует следующие алгоритмы для шифрования данных:

AES-CBC-PKCS5Padding
AES-CBC-PKCS7Padding
AES-ECB-PKCS7Padding
AES-GCM-NoPadding
RSA-ECB-PKCS1Padding

Использует следующие алгоритмы для расшифровки данных:

AES-CBC-PKCS5Padding
AES-ECB-NoPadding
AES-GCM-NoPadding

Осуществляет доступ к приватному интерфейсу ITelephony.

Использует специальную библиотеку для скрытия исполняемого байт-кода.

Получает информацию о местоположении.

Получает информацию о сети.

Получает информацию о телефоне (номер, IMEI и т. д.).

Отрисовывает собственные окна поверх других приложений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней