Техническая информация
Вредоносные функции:
Отправляет SMS:
- 106901332942: rg|315|AhB3j.S11wiZPLfC4voMlAPLf5l4OMLO8Og5z74T385P,mOWqq4ckPtLpVZ43sNPdyB.oHUxCYDHXRxRsUgzmS3TK0HYuw,jZ0KVu,jBTns!
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.691.origin
- Android.Triada.248.origin
- Android.Triada.464.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) yun.tuis####.com:80
- TCP(HTTP/1.1) www.palmfun####.cn:80
- TCP(HTTP/1.1) gd.a.s####.com:80
- TCP(HTTP/1.1) 1####.159.103.205:8090
- TCP(HTTP/1.1) dw.winners####.com:80
- TCP(HTTP/1.1) qq####.top:660
- TCP(HTTP/1.1) 47.1####.131.164:6600
- TCP(HTTP/1.1) en####.tui####.com:80
- TCP(HTTP/1.1) ot.grb.qin####.com:80
- TCP(HTTP/1.1) 1####.15.2.156:6700
- TCP(HTTP/1.1) 1####.78.31.198:8030
- TCP(HTTP/1.1) 47.1####.78.161:9004
- TCP(HTTP/1.1) acti####.russi####.cn:80
- TCP(HTTP/1.1) fp-st####.b0.a####.com:80
- TCP(HTTP/1.1) 1####.224.16.33:6600
- TCP(HTTP/1.1) 1####.55.161.68:29092
- TCP(HTTP/1.1) yun.tuit####.com.####.com:80
- TCP(HTTP/1.1) q####.a####.com:80
- TCP(HTTP/1.1) 1####.159.180.48:8090
- TCP(HTTP/1.1) w####.cns####.com:9005
- TCP(HTTP/1.1) 47.1####.131.164:6700
- TCP(HTTP/1.1) ji####.jieme####.com:8152
- TCP(HTTP/1.1) xz####.zhan####.com:10011
- TCP(HTTP/1.1) a####.on####.club:80
- TCP(HTTP/1.1) ot.prs.qin####.com:80
- TCP(HTTP/1.1) 1####.15.2.156:6600
- TCP(HTTP/1.1) fy.bigb####.com:6099
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) 1####.159.152.136:8090
- TCP(HTTP/1.1) api.qiazhiw####.cn:8888
- TCP(HTTP/1.1) www.3####.com:8081
- TCP(HTTP/1.1) 1####.224.16.33:6700
- TCP(HTTP/1.1) l####.bigb####.com:6099
- TCP(HTTP/1.1) as.ju####.com:80
- TCP(TLS/1.0) 1####.217.19.206:443
- TCP(TLS/1.0) yw.suma####.com:5600
- TCP(TLS/1.0) yw.suma####.com:5500
- TCP(TLS/1.0) m####.ton####.net:443
- TCP(TLS/1.0) fp-st####.b0.a####.com:443
- TCP(TLS/1.0) raw.githubu####.com:443
Запросы DNS:
- a####.on####.club
- a####.u####.com
- acti####.russi####.cn
- api.qiazhiw####.cn
- as.ju####.com
- dw.winners####.com
- en####.tui####.com
- fy.bigb####.com
- ji####.dl####.com
- ji####.jieme####.com
- l####.bigb####.com
- l.ace####.com
- m####.ton####.net
- ot.cor.qin####.com
- ot.grb.qin####.com
- ot.m.qin####.com
- ot.prs.qin####.com
- pv.s####.com
- qq####.top
- raw.githubu####.com
- st####.ton####.net
- w####.cns####.com
- www.3####.com
- www.palmfun####.cn
- x####.bj####.cn
- xz####.zhan####.com
- yun.russi####.cn
- yun.tuis####.com
- yun.tuit####.com
- yw.suma####.com
Запросы HTTP GET:
- a####.on####.club/fileupload/0bc05ad19ed8cf95.jar
- acti####.russi####.cn/activity/index?id=####&slotId=####&login=####&appK...
- acti####.russi####.cn/domainWhite/getAll
- as.ju####.com/ss?m=####&b=####&action=####&v=####&k=####&c=####&pkg=####...
- dw.winners####.com/img/20190107/455987/720-1280.jpg
- dw.winners####.com/tem/ad.html
- dw.winners####.com/tem/js/WebViewJavascriptBridge.js
- dw.winners####.com/tem/js/jquery-1.8.0.min.js
- en####.tui####.com/index/activity?appKey=####&adslotId=####
- en####.tui####.com/index/image?appKey=####&adslotId=####
- fp-st####.b0.a####.com/tdu/tdu_js_file.js?partner=####&appName=####&even...
- gd.a.s####.com/cityjson?ie=####
- q####.a####.com/jieplginf/djmdeta29
- q####.a####.com/znewxinzffe/zxzy75
- yun.tuis####.com/h5-mami/activity/components/incentive/gift.png?x-oss-pr...
- yun.tuis####.com/h5/activity/dollMac/images/tuotuan-big.png
- yun.tuis####.com/h5/activity/dollMac/images/tuotuan-small.png
- yun.tuit####.com.####.com/h5-mami/activity/dollMac/1.0/index_20180409145...
- yun.tuit####.com.####.com/h5-mami/activity/dollMac/1.0/index_20180725150...
- yun.tuit####.com.####.com/h5-mami/activity/turnCircle/5.0/actBase_201809...
- yun.tuit####.com.####.com/h5-mami/couponPrize/thanks.png?x-oss-process=#...
- yun.tuit####.com.####.com/mami-media/img/0845d50bhz.png?x-oss-process=####
- yun.tuit####.com.####.com/mami-media/img/0dd0kquumx.png?x-oss-process=####
- yun.tuit####.com.####.com/mami-media/img/1l2k57vjww.png?x-oss-process=####
- yun.tuit####.com.####.com/mami-media/img/byws56juad.png?x-oss-process=####
- yun.tuit####.com.####.com/mami-media/img/fhgh20ohzr.png?x-oss-process=####
- yun.tuit####.com.####.com/mami-media/img/gnqehtj47o.png?x-oss-process=####
- yun.tuit####.com.####.com/mami-media/img/lb61i6xuoe.jpg
- yun.tuit####.com.####.com/mami-media/img/oyb2bbq27n.png?x-oss-process=####
- yun.tuit####.com.####.com/mami-media/img/p0jioybvtv.png?x-oss-process=####
- yun.tuit####.com.####.com/mami-media/img/qvnof8x6tx.png?x-oss-process=####
- yun.tuit####.com.####.com/mami-media/img/ucf1zwqy7v.png?x-oss-process=####
- yun.tuit####.com.####.com/mami-media/img/ui5dscrxzt.png?x-oss-process=####
- yun.tuit####.com.####.com/mami-media/img/urdfswwcp5.png?x-oss-process=####
- yun.tuit####.com.####.com/mami-media/img/vmnt2512q7.png?x-oss-process=####
- yun.tuit####.com.####.com/mami-media/img/wyt2p8tpoz.png?x-oss-process=####
- yun.tuit####.com.####.com/newactivity/assets/actBase.4ff08c01.css
- yun.tuit####.com.####.com/newactivity/assets/actBase.d84eab6f.js
- yun.tuit####.com.####.com/newactivity/assets/gyroscope.90b7461a.js
- yun.tuit####.com.####.com/newactivity/assets/touchs.3bae3309.js
- yun.tuit####.com.####.com/newactivity/assets/turnCircle-1.0.1bbe2549.css
- yun.tuit####.com.####.com/newactivity/assets/turnCircle-1.0.acbe0da3.js?...
- yun.tuit####.com.####.com/upload/1eERS1476708099636.png?x-oss-process=####
- yun.tuit####.com.####.com/upload/QOXWj1476708099539.png?x-oss-process=####
- yun.tuit####.com.####.com/upload/X0UyT1476708099650.png?x-oss-process=####
- yun.tuit####.com.####.com/upload/aCG9c1476708099654.png?x-oss-process=####
- yun.tuit####.com.####.com/upload/g9pyQ1476708099728.png?x-oss-process=####
- yun.tuit####.com.####.com/upload/r1CRf1476708099539.png?x-oss-process=####
Запросы HTTP POST:
- a####.u####.com/app_logs
- acti####.russi####.cn/activity/ajaxOptions
- api.qiazhiw####.cn:8888/v2/api/report?app_id=####&imei=####&imsi=####&ha...
- fy.bigb####.com:6099/aps/
- ji####.jieme####.com:8152/ryf_webserver/payment/checkupdate.html
- l####.bigb####.com:6099/aps/
- ot.grb.qin####.com/JBVZVr/niyaei
- ot.grb.qin####.com/ei6VRb/ZJnAba
- ot.prs.qin####.com/7ziimi/QriUva
- ot.prs.qin####.com/7ziimi/ieuYzm
- ot.prs.qin####.com/JBVZVr/niyaei
- ot.prs.qin####.com/ei6VRb/ZJnAba
- ot.prs.qin####.com/zIFvYr/uaqmAn
- qq####.top:660/dff/311ec
- qq####.top:660/oaeef973/b7090
- qq####.top:660/s034/d9ff
- qq####.top:660/s5661/9a87a3
- qq####.top:660/s59849b7/4f9d
- qq####.top:660/s7caa71/6a7ce4
- qq####.top:660/s8ad/ac3b55
- w####.cns####.com:9005/csk/c_s/g_f.json
- w####.cns####.com:9005/csk/st_c/cn_i_sec.json
- w####.cns####.com:9005/csk/st_c/cn_sk_Order.json
- w####.cns####.com:9005/csk/st_c/cn_sk_login.json
- w####.cns####.com:9005/csk/st_c/cn_sk_specialVersion.json
- w####.cns####.com:9005/csk/st_c/cn_sk_tj.json
- w####.cns####.com:9005/csk/st_c/getst_tegy.json
- www.3####.com:8081/e/mmc
- www.palmfun####.cn/fee/active
- www.palmfun####.cn/fee/searchpc
- www.palmfun####.cn/fee/searchpcNew
- xz####.zhan####.com:10011/zxhypay/action/updatexzf.do
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-xMbK5JhIkGtlGSYv6Px13csjHU=.new
- /data/data/####/.dex
- /data/data/####/.imprint
- /data/data/####/.jar
- /data/data/####/0ojXg8vvnVBvxugTWZ1KODtf7N8=.new
- /data/data/####/0x5MYlRB8f-U1Doeat0xjVe-t78=.new
- /data/data/####/1001.jar
- /data/data/####/1557238918215
- /data/data/####/1557238918291
- /data/data/####/1557238918851
- /data/data/####/1557238920684
- /data/data/####/1557238923408
- /data/data/####/1557238924387
- /data/data/####/1557238926562
- /data/data/####/1557238934353
- /data/data/####/1557238934580
- /data/data/####/1557238937073
- /data/data/####/1557238937136
- /data/data/####/1557238938648
- /data/data/####/1557238940872
- /data/data/####/1557238942506
- /data/data/####/1557238949403
- /data/data/####/1557238949440
- /data/data/####/1557238951138
- /data/data/####/1557238952007
- /data/data/####/1557238955228
- /data/data/####/1557238955379
- /data/data/####/1557238956867
- /data/data/####/1557238958872
- /data/data/####/1557238964337
- /data/data/####/1557238964454
- /data/data/####/1557238966430
- /data/data/####/1557238966501
- /data/data/####/1557238967898
- /data/data/####/1557238970230
- /data/data/####/1557238971713
- /data/data/####/1557238974249
- /data/data/####/1557238981536
- /data/data/####/1557238981647
- /data/data/####/1557238983252
- /data/data/####/1557238985690
- /data/data/####/1557238987287
- /data/data/####/1557238989215
- /data/data/####/2rmG9VzrPoL8aEpK.dex
- /data/data/####/2rmG9VzrPoL8aEpK.zip
- /data/data/####/4JXccsceSREU1ETsDr5KeA==.new
- /data/data/####/A7RS82H8UGn4kgkREuqzTA==.new
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/ApplicationCache.db-journal (deleted)
- /data/data/####/J7tttldNZz_ClmnRS4LWOA==
- /data/data/####/JiePay.xml
- /data/data/####/LNZBTwskMjHlnelEIsMLGCx0SFg=.new
- /data/data/####/NorPay_SP.xml
- /data/data/####/PO0xnb_zYZjyVTi4.new
- /data/data/####/XinZF.xml
- /data/data/####/XinZF_conf.xml
- /data/data/####/YV92X2dkdF9jb25maWc=.xml
- /data/data/####/Ym9vdF9pbml0X3NwX25hbWU=.xml
- /data/data/####/a_tmp
- /data/data/####/app_test.apk
- /data/data/####/app_test.dex (deleted)
- /data/data/####/baidu
- /data/data/####/black.png
- /data/data/####/box0.png
- /data/data/####/box1.png
- /data/data/####/box10.png
- /data/data/####/box11.png
- /data/data/####/box12.png
- /data/data/####/box13.png
- /data/data/####/box14.png
- /data/data/####/box15.png
- /data/data/####/box16.png
- /data/data/####/box17.png
- /data/data/####/box18.png
- /data/data/####/box19.png
- /data/data/####/box2.png
- /data/data/####/box20.png
- /data/data/####/box21.png
- /data/data/####/box22.png
- /data/data/####/box23.png
- /data/data/####/box24.png
- /data/data/####/box25.png
- /data/data/####/box26.png
- /data/data/####/box27.png
- /data/data/####/box28.png
- /data/data/####/box29.png
- /data/data/####/box3.png
- /data/data/####/box30.png
- /data/data/####/box31.png
- /data/data/####/box32.png
- /data/data/####/box33.png
- /data/data/####/box34.png
- /data/data/####/box4.png
- /data/data/####/box5.png
- /data/data/####/box6.png
- /data/data/####/box7.png
- /data/data/####/box8.png
- /data/data/####/box9.png
- /data/data/####/brushs.xml
- /data/data/####/by0.png
- /data/data/####/by1.png
- /data/data/####/by10.png
- /data/data/####/by11.png
- /data/data/####/by12.png
- /data/data/####/by2.png
- /data/data/####/by3.png
- /data/data/####/by4.png
- /data/data/####/by5.png
- /data/data/####/by6.png
- /data/data/####/by7.png
- /data/data/####/by8.png
- /data/data/####/by9.png
- /data/data/####/c8ef51bca7c6ca597d96a5924f5daec5.xml
- /data/data/####/cRI.JEAHZSn.BXf_preferences.xml
- /data/data/####/cRIJEAHZSnBXf
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cds.xml
- /data/data/####/dINZd_A13nTQC2leogtVBw==.new
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f-AIgCT8fpFvAtY5frTFQ2q1oPygpctQ_V_pu7TcLPFAMNRPY
- /data/data/####/f-AIgCT8fpFvAtY5frTFQ2q1oPygpctQ_V_pu7TcLPFAMNRPY-journal
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/f_00000b
- /data/data/####/f_00000c
- /data/data/####/f_00000d
- /data/data/####/f_00000e
- /data/data/####/f_00000f
- /data/data/####/fen.png
- /data/data/####/fmoonStore.db
- /data/data/####/fmoonStore.db-journal
- /data/data/####/fplay_arthc
- /data/data/####/http_activity.russiango.cn_0.localstorage-journal
- /data/data/####/hufag_f.dex
- /data/data/####/hufag_f.zip
- /data/data/####/index
- /data/data/####/jiepay_config.xml
- /data/data/####/jiepayplugin.apk
- /data/data/####/jiepayplugin.apkdata
- /data/data/####/jiepayplugin.dex
- /data/data/####/jiepayplugin.dex (deleted)
- /data/data/####/jiepaysmspay.db
- /data/data/####/jiepaysmspay.db-journal
- /data/data/####/jjWcpDAQl7X1HA-QQIN3erADM00=.new
- /data/data/####/juese.png
- /data/data/####/jx_im.png
- /data/data/####/menu_an.png
- /data/data/####/menu_ph.png
- /data/data/####/menu_top.png
- /data/data/####/mid_yy.mp3
- /data/data/####/one.dex
- /data/data/####/onePayV3.xml
- /data/data/####/order_sp.xml
- /data/data/####/order_sp.xml.bak
- /data/data/####/over_an0.png
- /data/data/####/over_an1.png
- /data/data/####/over_jm.png
- /data/data/####/over_tc.png
- /data/data/####/over_zi0.png
- /data/data/####/ph_back.png
- /data/data/####/ph_di0.png
- /data/data/####/ph_di1.png
- /data/data/####/ph_jm.png
- /data/data/####/ph_kuang.png
- /data/data/####/puPgYAqH9Vc8okEbbIaBiJPvSqU=.new
- /data/data/####/q1u_SGVajS26PYzjYWqgfQ==
- /data/data/####/qs_LcCache.xml
- /data/data/####/rdata_comapvnbwyyz.new
- /data/data/####/runner_info.prop.new
- /data/data/####/sdk.xml
- /data/data/####/sdk.xml.bak
- /data/data/####/shu.png
- /data/data/####/shu2.png
- /data/data/####/shu3.png
- /data/data/####/shu4.png
- /data/data/####/shu5.png
- /data/data/####/sod_chaoshi.mp3
- /data/data/####/sod_obegin.mp3
- /data/data/####/sod_over.mp3
- /data/data/####/sod_ozhongxin.mp3
- /data/data/####/sod_xiashui.mp3
- /data/data/####/sod_xl.mp3
- /data/data/####/teDNj9SeCL-52-f-GA4-KhbA3sZ6pyls.new
- /data/data/####/tou_0.png
- /data/data/####/tou_1.png
- /data/data/####/tou_10.png
- /data/data/####/tou_11.png
- /data/data/####/tou_12.png
- /data/data/####/tou_13.png
- /data/data/####/tou_14.png
- /data/data/####/tou_15.png
- /data/data/####/tou_16.png
- /data/data/####/tou_17.png
- /data/data/####/tou_18.png
- /data/data/####/tou_19.png
- /data/data/####/tou_2.png
- /data/data/####/tou_20.png
- /data/data/####/tou_21.png
- /data/data/####/tou_22.png
- /data/data/####/tou_23.png
- /data/data/####/tou_24.png
- /data/data/####/tou_25.png
- /data/data/####/tou_26.png
- /data/data/####/tou_27.png
- /data/data/####/tou_28.png
- /data/data/####/tou_29.png
- /data/data/####/tou_3.png
- /data/data/####/tou_30.png
- /data/data/####/tou_31.png
- /data/data/####/tou_32.png
- /data/data/####/tou_33.png
- /data/data/####/tou_34.png
- /data/data/####/tou_35.png
- /data/data/####/tou_36.png
- /data/data/####/tou_37.png
- /data/data/####/tou_38.png
- /data/data/####/tou_39.png
- /data/data/####/tou_4.png
- /data/data/####/tou_40.png
- /data/data/####/tou_41.png
- /data/data/####/tou_42.png
- /data/data/####/tou_43.png
- /data/data/####/tou_44.png
- /data/data/####/tou_45.png
- /data/data/####/tou_46.png
- /data/data/####/tou_47.png
- /data/data/####/tou_48.png
- /data/data/####/tou_49.png
- /data/data/####/tou_5.png
- /data/data/####/tou_6.png
- /data/data/####/tou_7.png
- /data/data/####/tou_8.png
- /data/data/####/tou_9.png
- /data/data/####/tx_dian.png
- /data/data/####/tx_jia.png
- /data/data/####/tx_quan.png
- /data/data/####/uHLgvIrVhlRuiO9C
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/uid.f
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_general_config.xml.bak (deleted)
- /data/data/####/umeng_it.cache
- /data/data/####/userData.xml
- /data/data/####/userDatas.xml
- /data/data/####/vlM9KqDUWfBSQlwCH-SVQg==.new
- /data/data/####/vv.xml
- /data/data/####/webview.db
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromium.db-journal (deleted)
- /data/data/####/ydutl.cf
- /data/data/####/ying.png
- /data/data/####/zdfc.dex
- /data/data/####/zdfc.jar
- /data/data/####/zxxinzf.apk
- /data/data/####/zxxinzf.dex
- /data/data/####/zxxinzf.dex (deleted)
- /data/media/####/.uunique.new
- /data/media/####/sys.lock
Другие:
Запускает следующие shell-скрипты:
- ./fplay_arthc
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- chmod 777 <Package Folder>/cRIJEAHZSnBXf
- chmod 777 <Package Folder>/files/fplay_arthc
- dd if <Package Folder>/files/fplay_arthc of <Package Folder>/cRIJEAHZSnBXf
- dd if=<Package Folder>/files/fplay_arthc of=<Package Folder>/cRIJEAHZSnBXf
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.version
- getprop ro.yunos.version
- sh
- sh ./fplay_arthc
Загружает динамические библиотеки:
- cocos2dcpp
- engine
- fshrimp
- n884e6
Использует следующие алгоритмы для шифрования данных:
- AES
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- DES
- DES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
