Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Kyview.1.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) v2.g####.qq.com:80
- TCP(HTTP/1.1) imgc####.qq.com.####.com:80
- TCP(HTTP/1.1) qzones####.g####.cn.####.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) apic####.mob.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) s####.e.qq.com:80
- TCP(HTTP/1.1) sc.g####.qq.com:80
- TCP(HTTP/1.1) mi.g####.qq.com:80
- TCP(HTTP/1.1) s####.tc.qq.com:80
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) 36####.edges####.net:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) z####.jd.com:443
Запросы DNS:
- a####.u####.com
- and####.b####.qq.com
- apic####.mob.com
- imgc####.qq.com
- mi.g####.qq.com
- oc.u####.com
- p####.ugd####.com
- qzones####.g####.cn
- s####.e.qq.com
- sc.g####.qq.com
- ssl.gst####.com
- v2.g####.qq.com
- w####.jd.com
- wq.360bu####.com
- www.go####.com
- www.gst####.com
- z####.jd.com
Запросы HTTP GET:
- apic####.mob.com/v1/weather/query?key=####&city=####
- imgc####.qq.com.####.com/qzone/biz/gdt/mod/android/AndroidAllInOne/progu...
- mi.g####.qq.com/gdt_mview.fcg?posw=####&posh=####&count=####&r=####&data...
- qzones####.g####.cn.####.com/qzone/biz/gdt/mob/sdk/v2/android02/images/t...
- s####.tc.qq.com/gdt/0/transformer_5503897179003521420_1556759949_80.jpg/...
- s####.tc.qq.com/gdt/0/transformer_5548496315988861139_1556605586_80.jpg/...
- sc.g####.qq.com/gdt_mclick.fcg?viewid=####&jtype=####&i=####&os=####&asi...
- v2.g####.qq.com/gdt_stats.fcg?viewid=####&i=####&os=####&xp=####&gap=####
Запросы HTTP POST:
- a####.u####.com/app_logs
- and####.b####.qq.com/rqd/async
- and####.b####.qq.com/rqd/async?aid=####
- oc.u####.com/v2/check_config_update
- oc.u####.com/v2/get_update_time
- s####.e.qq.com/activate
- s####.e.qq.com/click
- s####.e.qq.com/getad
- s####.e.qq.com/msg
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/1002
- /data/data/####/1004
- /data/data/####/128bbd528c15201f3fce03e4b32c7479.temp
- /data/data/####/5ead7c1916e321af3ee0d7d6aa595238.temp
- /data/data/####/9805af497afdfd71e6235d7c3b8f2fbb.temp
- /data/data/####/BUGLY_COMMON_VALUES.xml
- /data/data/####/GDTSDK.db
- /data/data/####/GDTSDK.db-journal
- /data/data/####/SP.xml
- /data/data/####/Test.xml
- /data/data/####/bugly_db_-journal
- /data/data/####/bugly_db_legu-journal
- /data/data/####/com.chenghui.study.c.BETA_VALUES.xml
- /data/data/####/crashrecord.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/devCloudSetting.cfg
- /data/data/####/devCloudSetting.sig
- /data/data/####/exchangeIdentity.json
- /data/data/####/gdt_plugin.jar
- /data/data/####/gdt_plugin.jar.sig
- /data/data/####/gdt_plugin.tmp
- /data/data/####/gdt_plugin.tmp.sig
- /data/data/####/gdt_suid
- /data/data/####/index
- /data/data/####/libshella-2.10.6.0.so
- /data/data/####/libufix.so
- /data/data/####/local_crash_lock
- /data/data/####/mix.dex
- /data/data/####/mobclick_agent_cached_com.chenghui.study.c1341
- /data/data/####/mobclick_agent_user_com.chenghui.study.c.xml
- /data/data/####/multidex.version.xml
- /data/data/####/native_record_lock
- /data/data/####/onlineconfig_agent_online_setting_com.chenghui.study.c.xml
- /data/data/####/sdkCloudSetting.cfg
- /data/data/####/sdkCloudSetting.sig
- /data/data/####/security_info
- /data/data/####/um_cache_1556845632577.env
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/update_lc
- /data/data/####/user_info.txt
- /data/data/####/user_info.txt-journal
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.nomedia
- /data/media/####/ApplicationCache.db-journal
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-2.10.6.0.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
Загружает динамические библиотеки:
- Bugly
- libnfix
- libshella-2.10.6.0
- libufix
- nfix
- sqlcipher
- ufix
Использует следующие алгоритмы для шифрования данных:
- AES
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
