Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.451.origin
Сетевая активность:
Подключается к:
- TCP(/chkversion.php?chid=10022&subchid=1&pkg=com.excelliance.dualaid&vc=198&sn=3082037f30820267a00302010202044197534e300d06092a864886f70d01010b05003070310b3009060355040613025858311530130603550408130c526f626f4469737472696374311430120603550407130b526f626f56696c6c61676531143012060355040a130b526f626f466163746f7279310e300c060355040b1305526f626f74310e300c0603550403130544696d6173301e170d3137303531363132323131335a170d3434313030313132323131335a3070310b30090603550406) fo####.ap####.cn:80
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) fo####.ap####.cn:80
- TCP(TLS/1.0) 1####.217.19.206:443
Запросы DNS:
- cust####.mult####.cn
- fo####.ap####.cn
- mto.multi####.cn
Запросы HTTP GET:
- fo####.ap####.cn/
- fo####.ap####.cn/chkversion.php?chid=####&subchid=####&pkg=####&vc=####&...
- fo####.ap####.cn/genuser.php?chid=####&subchid=####&vc=####&type=####&da...
Запросы HTTP POST:
- fo####.ap####.cn/adstatis.php?cmd=####&data=ey####
- fo####.ap####.cn/banner.php?chid=####&subchid=####&vc=####&vn=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/adSwitcher.xml
- /data/data/####/apkInfo
- /data/data/####/cache_list.config.tmp
- /data/data/####/classes.dex
- /data/data/####/ctrl_sp_com.excelliance.dualaid.xml
- /data/data/####/download_sp.xml
- /data/data/####/extractInfo.xml
- /data/data/####/global_config.xml
- /data/data/####/hello.xml
- /data/data/####/kxqpChannal.xml
- /data/data/####/kxqpplatform2.jar
- /data/data/####/kxqpplatform2.jar.lock
- /data/data/####/lb_amcfg
- /data/data/####/lb_packages
- /data/data/####/libkxqpplatform.sinfo
- /data/data/####/libzvmhelper.so
- /data/data/####/lio_statistics.db-journal
- /data/data/####/main.jar
- /data/data/####/platform.xml
- /data/data/####/sig_0.key
- /data/data/####/srvtime.xml
- /data/data/####/statistics.xml
- /data/data/####/tmp.AU3515
- /data/data/####/tmp.Aq4115
- /data/data/####/tmp.BL3725
- /data/data/####/tmp.BQ2696
- /data/data/####/tmp.Bd3652
- /data/data/####/tmp.CE2406
- /data/data/####/tmp.CK2578
- /data/data/####/tmp.CM3375
- /data/data/####/tmp.CX4562
- /data/data/####/tmp.Ci4055
- /data/data/####/tmp.EK3220
- /data/data/####/tmp.EY3220
- /data/data/####/tmp.Eb4328
- /data/data/####/tmp.Et2696
- /data/data/####/tmp.FE3929
- /data/data/####/tmp.FI3470
- /data/data/####/tmp.FL3652
- /data/data/####/tmp.FW4226
- /data/data/####/tmp.Fc3949
- /data/data/####/tmp.Fh3839
- /data/data/####/tmp.Fn2767
- /data/data/####/tmp.Fn3714
- /data/data/####/tmp.Ft3504
- /data/data/####/tmp.GL4055
- /data/data/####/tmp.GT3714
- /data/data/####/tmp.Gd3604
- /data/data/####/tmp.Hc3321
- /data/data/####/tmp.Hc4353
- /data/data/####/tmp.Hm3695
- /data/data/####/tmp.Hs3929
- /data/data/####/tmp.IH4086
- /data/data/####/tmp.IY3839
- /data/data/####/tmp.Ic3002
- /data/data/####/tmp.JB3265
- /data/data/####/tmp.Jj3140
- /data/data/####/tmp.KE2848
- /data/data/####/tmp.KK3189
- /data/data/####/tmp.KT2659
- /data/data/####/tmp.Kf2346
- /data/data/####/tmp.Kv4476
- /data/data/####/tmp.LW4454
- /data/data/####/tmp.ME4454
- /data/data/####/tmp.MQ4308
- /data/data/####/tmp.MZ3695
- /data/data/####/tmp.Mh2816
- /data/data/####/tmp.NM4308
- /data/data/####/tmp.NU4086
- /data/data/####/tmp.NZ3974
- /data/data/####/tmp.Nk2767
- /data/data/####/tmp.Ob2869
- /data/data/####/tmp.Or2848
- /data/data/####/tmp.PC2659
- /data/data/####/tmp.PF4276
- /data/data/####/tmp.PR3783
- /data/data/####/tmp.PW3839
- /data/data/####/tmp.QD3220
- /data/data/####/tmp.QG4086
- /data/data/####/tmp.QI2346
- /data/data/####/tmp.QT4422
- /data/data/####/tmp.QW2659
- /data/data/####/tmp.QW4494
- /data/data/####/tmp.Qa2921
- /data/data/####/tmp.Qk3974
- /data/data/####/tmp.Ql2970
- /data/data/####/tmp.RJ4115
- /data/data/####/tmp.RP2767
- /data/data/####/tmp.SB4086
- /data/data/####/tmp.TQ4139
- /data/data/####/tmp.TU2476
- /data/data/####/tmp.Ul3265
- /data/data/####/tmp.Uz4422
- /data/data/####/tmp.VZ3321
- /data/data/####/tmp.Vq3695
- /data/data/####/tmp.Vt3140
- /data/data/####/tmp.Wg4454
- /data/data/####/tmp.Wh3714
- /data/data/####/tmp.XR3250
- /data/data/####/tmp.XU3470
- /data/data/####/tmp.Xo3265
- /data/data/####/tmp.Xt3974
- /data/data/####/tmp.YA4115
- /data/data/####/tmp.Yf4494
- /data/data/####/tmp.Yu2406
- /data/data/####/tmp.Yz2476
- /data/data/####/tmp.aB3375
- /data/data/####/tmp.aL4308
- /data/data/####/tmp.aR3889
- /data/data/####/tmp.aS2659
- /data/data/####/tmp.ap2578
- /data/data/####/tmp.bf3002
- /data/data/####/tmp.bo3515
- /data/data/####/tmp.cg2848
- /data/data/####/tmp.dF3839
- /data/data/####/tmp.dG4562
- /data/data/####/tmp.dT2921
- /data/data/####/tmp.dV3470
- /data/data/####/tmp.eD2476
- /data/data/####/tmp.eS2496
- /data/data/####/tmp.ee3140
- /data/data/####/tmp.eg2627
- /data/data/####/tmp.ev4139
- /data/data/####/tmp.fj4226
- /data/data/####/tmp.fp2496
- /data/data/####/tmp.fp4634
- /data/data/####/tmp.fy4353
- /data/data/####/tmp.gD3002
- /data/data/####/tmp.gb3220
- /data/data/####/tmp.gk3504
- /data/data/####/tmp.gt2681
- /data/data/####/tmp.hH3504
- /data/data/####/tmp.hK2970
- /data/data/####/tmp.ha4226
- /data/data/####/tmp.hg2346
- /data/data/####/tmp.hx3025
- /data/data/####/tmp.iS3725
- /data/data/####/tmp.iT3002
- /data/data/####/tmp.iu3949
- /data/data/####/tmp.iy2627
- /data/data/####/tmp.jU3504
- /data/data/####/tmp.kZ4476
- /data/data/####/tmp.kr4226
- /data/data/####/tmp.ku2578
- /data/data/####/tmp.kz3974
- /data/data/####/tmp.lH4308
- /data/data/####/tmp.lw3250
- /data/data/####/tmp.mL2476
- /data/data/####/tmp.mq4276
- /data/data/####/tmp.nN2346
- /data/data/####/tmp.nZ2696
- /data/data/####/tmp.no3604
- /data/data/####/tmp.nv2869
- /data/data/####/tmp.nw3604
- /data/data/####/tmp.oK3051
- /data/data/####/tmp.pO3929
- /data/data/####/tmp.pT3604
- /data/data/####/tmp.pV2921
- /data/data/####/tmp.pe3889
- /data/data/####/tmp.qS4353
- /data/data/####/tmp.qV3426
- /data/data/####/tmp.qf2696
- /data/data/####/tmp.qh3470
- /data/data/####/tmp.rM2848
- /data/data/####/tmp.rb4454
- /data/data/####/tmp.rp3140
- /data/data/####/tmp.sf3025
- /data/data/####/tmp.sm3375
- /data/data/####/tmp.sq3426
- /data/data/####/tmp.tI2767
- /data/data/####/tmp.uE3025
- /data/data/####/tmp.uW4328
- /data/data/####/tmp.ua3051
- /data/data/####/tmp.vT2681
- /data/data/####/tmp.va2816
- /data/data/####/tmp.vf3929
- /data/data/####/tmp.wF2578
- /data/data/####/tmp.wQ3265
- /data/data/####/tmp.wY4494
- /data/data/####/tmp.wf3783
- /data/data/####/tmp.ws4494
- /data/data/####/tmp.wt3375
- /data/data/####/tmp.wx4634
- /data/data/####/tmp.xj4115
- /data/data/####/tmp.xk3189
- /data/data/####/tmp.yN3025
- /data/data/####/tmp.yO2346
- /data/data/####/tmp.zF2921
- /data/data/####/tmp.zP3695
- /data/data/####/tmp.zd4353
- /data/data/####/tmp1723684547tmp
- /data/data/####/tmp2013856329tmp
- /data/media/####/com.excelliance.dualaid.png
- /data/media/####/compVersion
- /data/media/####/verinfo.cfg
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/files/.platformcache/kxqpplatform2.jar
- chmod 755 <Package Folder>/files/.platformcache/main.jar
Загружает динамические библиотеки:
- libkxqpplatform
- libzvmhelper
Использует следующие алгоритмы для шифрования данных:
- AES-ECB-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
