Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.363.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 1####.131.79.3:8090
- TCP(HTTP/1.1) 1####.75.116.197:8881
- TCP(HTTP/1.1) a.ibit####.com:80
- TCP(HTTP/1.1) 1####.26.106.206:8088
- TCP(HTTP/1.1) gd.a.s####.com:80
- TCP(HTTP/1.1) a.xinxian####.com:80
- TCP(HTTP/1.1) f####.caiji####.com:80
- TCP(HTTP/1.1) w####.pcon####.com.cn:80
- TCP(HTTP/1.1) 1####.131.189.116:90
- TCP(HTTP/1.1) d####.wos####.com:80
- TCP(HTTP/1.1) np.bul####.cn:6087
- TCP(HTTP/1.1) ss####.youxi####.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) k####.kyli####.com.####.com:80
- TCP(HTTP/1.1) cdn.i.arie####.com:80
- TCP(HTTP/1.1) adx.c####.cn:80
- TCP(HTTP/1.1) si####.jom####.com:80
- TCP(HTTP/1.1) p####.caiji####.com:80
- TCP(HTTP/1.1) wn.pos.b####.com:80
- TCP(HTTP/1.1) sf1-ttc####.ps####.com:80
- TCP(HTTP/1.1) ny.bul####.cn:666
- TCP(HTTP/1.1) dn.bule####.com:80
- TCP(HTTP/1.1) s.a####.com.cn:80
- TCP(HTTP/1.1) s1.best####.com:9191
- TCP(HTTP/1.1) a####.yucha####.com:80
- TCP(HTTP/1.1) s####.caiji####.com:666
- TCP(HTTP/1.1) 1####.75.116.197:8721
- TCP(HTTP/1.1) 1####.231.136.27:8090
- TCP(HTTP/1.1) a####.caiji####.com:80
- TCP(TLS/1.0) lf.sn####.com:443
- TCP(TLS/1.0) a####.d####.com:443
- TCP(TLS/1.0) n.3####.com:443
- TCP(TLS/1.0) s1.best####.com:9443
- TCP(TLS/1.0) statson####.pu####.b####.com:443
- TCP(TLS/1.0) 2####.58.211.110:443
- TCP(TLS/1.0) ss####.youxi####.com:443
- TCP(TLS/1.0) www.google-####.com:443
- TCP(TLS/1.0) i####.d####.com:443
- TCP(TLS/1.0) api.tui####.b####.com:443
- TCP(TLS/1.0) aliyuno####.oss-cn-####.aliy####.com:443
- TCP(TLS/1.0) api.map.b####.com:443
- TCP(TLS/1.0) 1####.235.46.191:443
- TCP(TLS/1.0) sw3.d####.com:443
- TCP sa.tui####.b####.com:5287
- TCP 1####.168.103.254:42561
Запросы DNS:
- a####.caiji####.com
- a####.d####.com
- a####.u####.com
- a####.yucha####.com
- a.ibit####.com
- a.xinxian####.com
- adx.c####.cn
- aliyuno####.oss-cn-####.aliy####.com
- api.htp.hubc####.####.cn
- api.map.b####.com
- api.tui####.b####.com
- cdn.i.arie####.com
- d####.wos####.com
- dn.bule####.com
- f####.caiji####.com
- i####.d####.com
- img.d####.com
- k####.kyli####.com
- lf.sn####.com
- mt####.go####.com
- n.3####.com
- np.bul####.cn
- ny.bul####.cn
- p####.caiji####.com
- pv.s####.com
- r.ibit####.com
- s####.caiji####.com
- s.69####.com
- s.a####.com.cn
- s1.best####.com
- sa.tui####.b####.com
- sf1-ttc####.ps####.com
- ss####.youxi####.com
- statson####.pu####.b####.com
- sw3.d####.com
- t10.b####.com
- w####.pcon####.com.cn
- wn.pos.b####.com
- www.google-####.com
Запросы HTTP GET:
- a.ibit####.com/c/strawberry_sdk
- a.ibit####.com/update_ch/fruit/core.jar
- a.ibit####.com/update_ch/fruit/coreconfig.jar
- cdn.i.arie####.com/c/_ii_?_=####
- cdn.i.arie####.com/e/i.html
- cdn.i.arie####.com/e/i.js
- dn.bule####.com/dnfile/cmm/SWrapComm0510.jar
- dn.bule####.com/dnfile/wmp/AB50403my.jar
- f####.caiji####.com/v1/cc/mobile?brand=####&model=####&andid=####&andv=#...
- k####.kyli####.com.####.com/1557476106192_utils.ttf
- s1.best####.com:9191/b3.htm?c=####&p=####&t=####&r=####&d=####&sc=####
- sf1-ttc####.ps####.com/img/web.business.image/201905075d0d3974fa1eb0c74f...
- si####.jom####.com/it/u=2242318647,3417482069&fm=76
- ss####.youxi####.com/Exposead/index/?re=cmFk####
- wn.pos.b####.com/adx.php?c=####
Запросы HTTP POST:
- a####.caiji####.com/v2/load/mobile
- a####.u####.com/app_logs
- a####.yucha####.com/api/api3_code_ym.php
- a.xinxian####.com/encrypt/json/taokl
- adx.c####.cn/reqad
- d####.wos####.com/upload/event.jsp
- d####.wos####.com/upload/event2.jsp
- d####.wos####.com/upload/longheartbeat.jsp
- d####.wos####.com/upload/sdklongheartbeat.jsp
- f####.caiji####.com/v3/task/mobile
- gd.a.s####.com/cityjson
- np.bul####.cn:6087/Sdk/task
- ny.bul####.cn:666/slsdk/cmm_settings.aspx
- ny.bul####.cn:666/slsdk/getdata.aspx
- p####.caiji####.com/klv2/sdkkl/mobile
- s####.caiji####.com:666/v1/config
- s.a####.com.cn/ad/get
- w####.pcon####.com.cn/ip.jsp
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-1802889889_app_spf_scli.xml
- /data/data/####/-1802889889_pl_sp.xml
- /data/data/####/-1802889889_rss_pl_cty.xml
- /data/data/####/-1802889889_rws_sp.xml
- /data/data/####/-1802889889_sp_iconfig.xml
- /data/data/####/-1802889889_sp_iconfig.xml.bak
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/Alvin2.xml
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/ContextData.xml
- /data/data/####/adhubsdk_config.xml
- /data/data/####/app_launcher_ic.png
- /data/data/####/authStatus_com.haier.washcallmanager.xml
- /data/data/####/authStatus_com.haier.washcallmanager;bdservice_v1.xml
- /data/data/####/cache_-1802889889_onsp.xml
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cm_cfgt_spf.xml
- /data/data/####/cmcc.xml
- /data/data/####/com.baidu.pushservice.BIND_CACHE.xml
- /data/data/####/com.baidu.pushservice.app_stat.xml
- /data/data/####/com.baidu.pushservice.friend.xml
- /data/data/####/com.baidu.pushservice.single_conn.xml
- /data/data/####/com.haier.washcallmanager.push_sync.xml
- /data/data/####/com.haier.washcallmanager.self_push_sync.xml
- /data/data/####/com.haier.washcallmanager_preferences.xml
- /data/data/####/config.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/data_dir.xml
- /data/data/####/data_dir.xml.bak
- /data/data/####/default.xml
- /data/data/####/defaultpref1.xml
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/https_sw3.duoyi.com_0.localstorage-journal
- /data/data/####/img-cache.zip
- /data/data/####/index
- /data/data/####/journal.tmp
- /data/data/####/libcuid.so
- /data/data/####/libjiagu-1170918642.so
- /data/data/####/load_MTAwMF8xMjAxXzE0OTAwODAw;.xml
- /data/data/####/oddbd.xml
- /data/data/####/prdopt.xml
- /data/data/####/pst.xml
- /data/data/####/pushclient.xml
- /data/data/####/pushinfo.db
- /data/data/####/pushinfo.db-journal
- /data/data/####/pushstat_6.5.0.db
- /data/data/####/pushstat_6.5.0.db-journal
- /data/data/####/spfn_MTAwMF8xMjAxXzE0OTAwODAw;.xml
- /data/data/####/tmp7.xml
- /data/data/####/tools8977.xml
- /data/data/####/tools8977New.xml
- /data/data/####/u877.jar
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/xconfig.xml
- /data/data/####/xsdk_preference.xml
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/.nomedia
- /data/media/####/427C06F1F603DFB65CF80ED68143A253.jar
- /data/media/####/7E0EDCFF5E587E4417716004261303EB.jar
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/bb0510.x
- /data/media/####/c.jar
- /data/media/####/c.jar.tm
- /data/media/####/cb0510.x
- /data/media/####/cf.jar
- /data/media/####/cf.jar.tm
- /data/media/####/dec_c.jar
- /data/media/####/dec_cf.jar
- /data/media/####/engc.jar
- /data/media/####/ssp_brush_lib.data
- /data/media/####/tmpbl.jar
- /data/media/####/u877.jar.tmp
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- cat /sys/class/net/wlan0/address
- ls -l /system/bin/su
- netstat -ant
Загружает динамические библиотеки:
- BaiduMapSDK_base_v4_5_2
- bdpush_V2_9
- libjiagu-1170918642
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5PADDING
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-CFB-NOPADDING
- DES-CBC-PKCS5Padding
- RSA-None-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5PADDING
- AES-CBC-PKCS5Padding
- AES-CFB-NOPADDING
- DES
- DES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
