Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.363.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 07img####.eas####.com.####.com:80
- TCP(HTTP/1.1) c.c####.com:80
- TCP(HTTP/1.1) m.suda####.com:80
- TCP(HTTP/1.1) bj####.j####.cn:80
- TCP(HTTP/1.1) gdv.a.s####.com:80
- TCP(HTTP/1.1) s####.tc.qq.com:80
- TCP(HTTP/1.1) p####.tc.qq.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) s####.e.qq.com:80
- TCP(HTTP/1.1) gg.shenxin####.com:80
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
- TCP(HTTP/1.1) w####.pcon####.com.cn:80
- TCP(HTTP/1.1) sf1-ttc####.ps####.com:80
- TCP(HTTP/1.1) mi.g####.qq.com:80
- TCP(HTTP/1.1) ny.bul####.cn:666
- TCP(HTTP/1.1) api.suda####.com:80
- TCP(HTTP/1.1) dn.gogo####.top:80
- TCP(HTTP/1.1) sf6-ttc####.ps####.com.####.com:80
- TCP(HTTP/1.1) t####.j####.cn:80
- TCP(TLS/1.0) shenxin####.com:443
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) analy####.map.qq.com:443
- TCP(TLS/1.0) ali-s####.j####.cn:443
- TCP(TLS/1.0) gd-s####.j####.cn:443
- TCP(TLS/1.0) t####.j####.cn:443
- TCP(TLS/1.0) res####.a####.com:443
- TCP(TLS/1.0) s####.e.qq.com:443
- TCP(TLS/1.0) ex####.sn####.com:443
- TCP(TLS/1.0) is.sn####.com:443
- TCP(TLS/1.0) et2.wagbr####.g####.com:443
- TCP 39.98.2####.99:7008
- UDP s.j####.cn:19000
Запросы DNS:
- 04img####.eas####.com
- 06img####.eas####.com
- 07img####.eas####.com
- 09img####.eas####.com
- aexcep####.b####.qq.com
- ali-s####.j####.cn
- analy####.map.qq.com
- and####.b####.qq.com
- api.suda####.com
- bj####.j####.cn
- c.c####.com
- dn.gogo####.top
- ex####.sn####.com
- gd-s####.j####.cn
- gg.shenxin####.com
- i.sn####.com
- imgc####.qq.com
- is.sn####.com
- m.suda####.com
- mi.g####.qq.com
- ny.bul####.cn
- p####.ugd####.com
- plb####.u####.com
- pv.s####.com
- res####.a####.com
- s####.e.qq.com
- s.j####.cn
- s5.c####.com
- sf1-ttc####.ps####.com
- sf6-ttc####.ps####.com
- shenxin####.com
- t####.j####.cn
- u####.u####.com
- w####.pcon####.com.cn
- we####.a####.com
Запросы HTTP GET:
- 07img####.eas####.com.####.com/mobile/20190412/20190412015204_95ed6f11e7...
- 07img####.eas####.com.####.com/mobile/20190412/20190412015518_ca1b0c97fd...
- 07img####.eas####.com.####.com/mobile/20190412/20190412021158_e85e3dc1e3...
- 07img####.eas####.com.####.com/mobile/20190412/20190412025427_ee29389d88...
- 07img####.eas####.com.####.com/mobile/20190412/2019041202_446ebaebd0c047...
- 07img####.eas####.com.####.com/mobile/20190412/2019041202_94a99fdbb35b4d...
- 07img####.eas####.com.####.com/mobile/20190412/2019041202_c062e040267844...
- api.suda####.com/api/v1/popularize-count?is_register=####&origin=####
- bj####.j####.cn/v1/appawake/status?uid=####&appkey=####&model=####&manuf...
- c.c####.com/core.php?web_id=####&show=####&t=####
- c.c####.com/z_stat.php?id=####&show=####
- dn.gogo####.top/dnfile/wmp/WG2N20181218D1031_319L1522.jar
- gg.shenxin####.com/qd002.html
- m.suda####.com/
- m.suda####.com/css/app.15c2be7b.css
- m.suda####.com/css/chunk-vendors.11d4decc.css
- m.suda####.com/img/content_bg.b9a6ec3c.jpg
- m.suda####.com/img/header_bg.a04e13f8.jpg
- m.suda####.com/img/process_icon.9d74dcc5.png
- m.suda####.com/img/text_1.76110e2b.png
- m.suda####.com/img/text_2.bcdb3e99.png
- m.suda####.com/js/app.67ca868e.js
- m.suda####.com/js/chunk-vendors.67985352.js
- mi.g####.qq.com/gdt_mview.fcg?posw=####&spsa=####&posh=####&count=####&r...
- p####.tc.qq.com/qzone/biz/gdt/mod/android/AndroidAllInOne/proguard/his/r...
- s####.tc.qq.com/gdt/0/DAAlD0kAKAAPAABiBcrvbpDofk16uP.jpg/0?ck=####
- sf1-ttc####.ps####.com/img/ad.union.api/f887ab1b9bee634e64f3b039b95c3473...
- sf1-ttc####.ps####.com/img/mosaic-legacy/1e3750001d92ab8ed7692~c1_1080x1...
- sf6-ttc####.ps####.com.####.com/obj/mosaic-legacy/1d81d00067fbbbc36df7f
Запросы HTTP POST:
- aexcep####.b####.qq.com:8012/rqd/async
- and####.b####.qq.com/rqd/async
- gdv.a.s####.com/cityjson
- ny.bul####.cn:666/slsdk/getdata.aspx
- ny.bul####.cn:666/slsdk/settings.aspx
- s####.e.qq.com/activate
- s####.e.qq.com/msg
- t####.j####.cn/
- w####.pcon####.com.cn/ip.jsp
Запросы HTTP OPTIONS:
- api.suda####.com/api/v1/popularize-count?is_register=####&origin=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/00b1ffa205244a17b4ae1b41b721f01a9093c370fa14eb8....0.tmp
- /data/data/####/08007f137d5be573d246f53ee6780718b9ad2a5c67b3f59....0.tmp
- /data/data/####/16783a9b213db2d8f713394115bfc4dde10cae4f007c5aa....0.tmp
- /data/data/####/1d57bb4d73b8d8bd2f66780868e8dcf309a3bd441fc8dd5....0.tmp
- /data/data/####/249619b2-a9e9-4ed7-8c8a-a5927590aa0f
- /data/data/####/25d488f6ce5bee8cab0bef43d78dd8b64a16e252ab65ac5....0.tmp
- /data/data/####/3215.yaqcookie
- /data/data/####/3385792c6f5aba40cf01fee72bca4dd37437c470fc70532....0.tmp
- /data/data/####/3d12b56651733be3f78d7e99fa17684a1c39bf248b61bae....0.tmp
- /data/data/####/4080db2d3c7f07656ca561e8e75432b7a7b0b5e3a9aa17c....0.tmp
- /data/data/####/50cfea5c-c7ff-4cbf-a408-c600adcc764e
- /data/data/####/7b476b87-d0da-49a7-b56d-83290ad9d579
- /data/data/####/83d7b76f6f71ff3c89e01d8e258cef599fc569cfd2c4178....0.tmp
- /data/data/####/96c5b6bf9f6f2e71632cf020c1844a5a97d1352bacff1fa....0.tmp
- /data/data/####/BuglySdkInfos.xml
- /data/data/####/GDTSDK.db
- /data/data/####/GDTSDK.db-journal
- /data/data/####/JPushSA_Config.xml
- /data/data/####/MultiDex.lock
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/all_today_clean.xml
- /data/data/####/all_total_clean.xml
- /data/data/####/appPackageNames_v2
- /data/data/####/app_crash_copy.xml
- /data/data/####/b2a7b981c24270113f906926031c09a9be257560375cca7....0.tmp
- /data/data/####/ba51d8936b4a6dc11916a3d3f7aacdde3b890f584906224....0.tmp
- /data/data/####/bugly_db_legu-journal
- /data/data/####/c634aecf9be76ecd25380ac7b96ddda2c1be6037f6017ac....0.tmp
- /data/data/####/clean_data.xml
- /data/data/####/clean_onekeyclean_preference.xml
- /data/data/####/clean_setting_preference.xml
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.rid.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/com.ymnet.mobilesafe_preferences.xml
- /data/data/####/com.ymnet.mobilesafe_preferences.xml (deleted)
- /data/data/####/com.ymnet.mobilesafe_preferences.xml.bak
- /data/data/####/d0566c8c-6192-45dd-ba61-b0b25813c30d
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTU1MDIxNTAwMzYz;
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/devCloudSetting.cfg
- /data/data/####/devCloudSetting.sig
- /data/data/####/dexMethod.91475202.dat
- /data/data/####/download.db-journal
- /data/data/####/downloader.db-journal
- /data/data/####/e33fd624-6479-4b2b-ad5d-d0d4f5c86a85
- /data/data/####/ec024cf69f7980cd17384eece6d5f36c0b773cdeb7e9d43....0.tmp
- /data/data/####/ed042f5017bf02ac5a0731a3343c23ff7f99ce18a26791f....0.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f09e08032af73e2bcac39f3743d016ce.temp
- /data/data/####/f7823c28-8af8-45bd-a596-74d70a6f2033
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/fa4eb133b50393ff4e955be347ac4431e4995d6c0f738e1....0.tmp
- /data/data/####/fa5962666d57416c587ccdab70cb656643a2e71f1bec2e8....0.tmp
- /data/data/####/gdt_config.cfg
- /data/data/####/gdt_plugin.jar
- /data/data/####/gdt_plugin.jar.sig
- /data/data/####/gdt_plugin.tmp
- /data/data/####/gdt_plugin.tmp.sig
- /data/data/####/gdt_stat.db
- /data/data/####/gdt_stat.db-journal
- /data/data/####/gdt_suid
- /data/data/####/i==1.2.0&&2.30_1555021500396_envelope.log
- /data/data/####/index
- /data/data/####/info.xml
- /data/data/####/journal.tmp
- /data/data/####/jpush_device_info.xml
- /data/data/####/jpush_stat_cache.json
- /data/data/####/jpush_stat_cache_history.json
- /data/data/####/libnfix.so
- /data/data/####/libshella-3.0.0.0.so
- /data/data/####/libufix.so
- /data/data/####/libyaqbasic.91475202.so
- /data/data/####/libyaqpro.91475202.so
- /data/data/####/local_crash_lock
- /data/data/####/mix.dex
- /data/data/####/multidex.version.xml
- /data/data/####/native_record_lock
- /data/data/####/onekeyclean_temp.xml
- /data/data/####/prdopt.xml
- /data/data/####/pushcore_umeng_common_config.xml
- /data/data/####/request_control.xml
- /data/data/####/request_position.xml
- /data/data/####/sdkCloudSetting.cfg
- /data/data/####/sdkCloudSetting.sig
- /data/data/####/security_info
- /data/data/####/syncdata_umeng_common_config.xml
- /data/data/####/t==8.0.2&&2.30_1555021502378_envelope.log
- /data/data/####/tmp7.xml
- /data/data/####/tools8977.xml
- /data/data/####/tt_materialMeta.xml
- /data/data/####/tt_sdk_settings.xml
- /data/data/####/tt_splash.xml
- /data/data/####/ttopenadsdk.xml
- /data/data/####/ttopensdk.db-journal
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/umdat.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_common_config.xml.bak
- /data/data/####/umeng_common_location.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/update_lc
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/yaqsdkcookie
- /data/media/####/.a.dat
- /data/media/####/.adfwe.dat
- /data/media/####/.cca.dat
- /data/media/####/.nomedia
- /data/media/####/.push_deviceid
- /data/media/####/.umm.dat
- /data/media/####/backstage_ad_path
- /data/media/####/engc.jar
- /data/media/####/news_source_path
- /data/media/####/tmpbl.jar
- /data/media/####/tt_splash_image_cache
- /data/media/####/user_channel_path
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- cat /sys/class/net/wlan0/address
- chmod 700 /data/user/0/<Package>/tx_shell/libnfix.so
- chmod 700 /data/user/0/<Package>/tx_shell/libshella-3.0.0.0.so
- chmod 700 /data/user/0/<Package>/tx_shell/libufix.so
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-3.0.0.0.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.letv.release.version
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
- ls /
- ls /sys/class/thermal
- ps
Загружает динамические библиотеки:
- Bugly
- jcore127
- libnfix
- libshella-3.0.0.0
- libufix
- libyaqbasic.91475202
- libyaqpro.91475202
- nfix
- ufix
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Получает информацию о привязанных к устройству аккаунтах (Google, Facebook и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
