Android.HiddenAds.1408

Техническая информация

Вредоносные функции:

Выполняет код следующих детектируемых угроз:

Android.HiddenAds.311.origin

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) a####.u####.com:80
TCP(HTTP/1.1) up####.sdk.jig####.cn:80
TCP(HTTP/1.1) l####.tbs.qq.com:80
TCP(HTTP/1.1) and####.b####.qq.com:80
TCP(TLS/1.0) api.map.b####.com:443
TCP(TLS/1.0) 1####.217.19.206:443
TCP(TLS/1.0) fi####.wuhu####.cn.####.cn:443
TCP(TLS/1.0) j####.wuhu####.cn.####.cn:443
UDP s.j####.cn:19000

Запросы DNS:

a####.u####.com
and####.b####.qq.com
api.map.b####.com
fi####.wuhu####.cn
i####.j####.cn
j####.wuhu####.cn
l####.tbs.qq.com
s.j####.cn
sis.j####.io
up####.sdk.jig####.cn

Запросы HTTP POST:

a####.u####.com/app_logs
and####.b####.qq.com/rqd/async
and####.b####.qq.com/rqd/async?aid=####
l####.tbs.qq.com/ajax?c=####&k=####
up####.sdk.jig####.cn/v1/push/sdk/postlist

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/.imprint
/data/data/####/04c429117b9dc392de205bef023418d9b47764d36732028....0.tmp
/data/data/####/0b42eacef4f84d1aa34570b7794c267e9d01bc801f34deb....0.tmp
/data/data/####/0e6fd8330ea71fe1607ae41ce2d9927884d517855c8824e....0.tmp
/data/data/####/1004
/data/data/####/121508922b9c0ea644ad970a0ebca3db045e78722b39877....0.tmp
/data/data/####/12fbeef090406817d9bb4860b8479cbaaaf9c56a2b2a4e4....0.tmp
/data/data/####/13b3cd9a7255861a2cc6e705cb0f77a822ebd336ad80817....0.tmp
/data/data/####/160523702dbad0336e1e3ba01aa4faa18b256891108d528....0.tmp
/data/data/####/1a5bc4847249ff064d3d5d0620a7af58dc0fd53d3b5eb77....0.tmp
/data/data/####/1a9db7054e1d088b567ba69b1afde6d0e6aad6353bca63c....0.tmp
/data/data/####/1c03d2d9d7d4f58b812638832a000398306c3b1a2115d65....0.tmp
/data/data/####/1da776b50989d178fac40fa8dc457d82f4059fbc3326143....0.tmp
/data/data/####/239ccb95da9dc74edcab1434abff57d7d50f21370d40ce4....0.tmp
/data/data/####/251403c3bb9593594f9a23f68317f6582c2c72190cc8af1....0.tmp
/data/data/####/2658d52da1da20c579e014dded36bb8d5eeebb18b93cf8b....0.tmp
/data/data/####/2ab9af4699d725c596f9dc8ca6e9b74556617a7cc0a4d58....0.tmp
/data/data/####/2c5e341b88bfba60da24a2bcb3dba52ea90a71122092d21....0.tmp
/data/data/####/31bbc998aed44598b32168377dab0b557b47c532a173092....0.tmp
/data/data/####/31e5bf7bdae47291743cb7af51f6eb94d4407c3e7316159....0.tmp
/data/data/####/32dc2e5e77e2a4a112baf70bfe1a8a13c290feac8d1ed93....0.tmp
/data/data/####/352cc2e3eec01444983349089f2e0518eb8e577ac1ddfe7....0.tmp
/data/data/####/3822b52cfa57ac19f067853065d6be4f983b6b5639dbbd7....0.tmp
/data/data/####/3c51171ccdcc83f7e94e726833f4b429f5e7182b947db10....0.tmp
/data/data/####/3e71523de71d1c951951398b6cd524d972b67d47d09710c....0.tmp
/data/data/####/3f12ba5879e6ba8767d2fa036b3ff1f05823d1e0fc3a42e....0.tmp
/data/data/####/40bc54507c9c6ce26a1ad5d2cadaafe80f18ec3b6b05600....0.tmp
/data/data/####/41886281fb781525b91714a64b84b9880ad5ebcce7c1c1c....0.tmp
/data/data/####/448b6ea08c8e7290d851c4620ce73a7d4974f0af2796d8c....0.tmp
/data/data/####/4570f8c7d8cd2e54eec2513ef468d7c13f0ddfa0cb8c54b....0.tmp
/data/data/####/49beb7c71ed5d9dadc3dcf83c77202b90638346bb33083e....0.tmp
/data/data/####/4ee889d939cc2d6831a7c8ac7fde276fd6fc945318b504f....0.tmp
/data/data/####/51b2d4cd7c2e4a2318d586d37ab13e109b46127bb74d045....0.tmp
/data/data/####/525bc5a8b5ff417d48961d0ba16caad152fac5cb5e664e6....0.tmp
/data/data/####/5370bcc6bcc979e7d7c36f7c37eb0fc55562656b10c35c0....0.tmp
/data/data/####/53fdb17c959e4c9bdf552a1eb9056e910fc382b56f4eb0d....0.tmp
/data/data/####/5563a5382a355bf0b971147768f991ede4c89fa72d961d7....0.tmp
/data/data/####/57595501922e77f998ef98e8accd67ca8286d77919e0314....0.tmp
/data/data/####/5786003434112ca89a9f473e1b7db00f2f32489fcb9d9be....0.tmp
/data/data/####/5922a818e5230933291e47e87a2cb74a55578c6638fb1a7....0.tmp
/data/data/####/598cf4d204ce45fddbf7ef1a3a27ddb6d219244be1dc4a0....0.tmp
/data/data/####/60a06b23d519f8c818059ef6994e1b5121036f7ef72c450....0.tmp
/data/data/####/6200ad6a854a3e11ef992dfc6dc787a4cb2008e048224b0....0.tmp
/data/data/####/628a63092f47ecfd1b38fbe67e51b48104dcca4778f0432....0.tmp
/data/data/####/62a298a33ca267f9b004c406fe2014945195e5cf4127092....0.tmp
/data/data/####/650650df94f9d1415d08d7ca5a8aec2f13e0686334a1ee6....0.tmp
/data/data/####/76563e9861196298c11b47143fd133dd8aa44c5ad0d9e12....0.tmp
/data/data/####/77b91817c1a95281fb72ad5abedc5d083738fbecd953c79....0.tmp
/data/data/####/7a964ff0c01a8c463a26535d1f0cb73eed526502fa68b49....0.tmp
/data/data/####/7c3aad848ce49ab2c75477662be37601ca849108fd3dcaf....0.tmp
/data/data/####/8263d22ed484fc95de86968d0fc35846f5c4171c4dcc238....0.tmp
/data/data/####/84386c0528032a6e0d388c49b5badc7ef853690c6c4f891....0.tmp
/data/data/####/8677ed42af75ac2ac9b8919e0e509ed4fed4c97aac50468....0.tmp
/data/data/####/869ad158ecd762375be8d739e587c42832856bc84d40ba8....0.tmp
/data/data/####/893ed1c21209b19036da90d9b4e41a7eb0fddcf953715ee....0.tmp
/data/data/####/8caae336a2f8fbea1abbf519a62f92c80de305454f658d7....0.tmp
/data/data/####/916749ef02fb800356c72a5de7fa24dfc1858c70c50f176....0.tmp
/data/data/####/919286d7dc2650881eedb6754e8d8648d8e8d2c4e0695dc....0.tmp
/data/data/####/961a0c141c260053d4340cdea602887814c64d628474f03....0.tmp
/data/data/####/9833ca4cae5162f3da00a582c039cb0efb4c4c96108e0c4....0.tmp
/data/data/####/9ef35a3628499aaeaddb4cff0f16bc9df99c87497798728....0.tmp
/data/data/####/9f7d6588e21a04ccaecca8251fc5708315d5ae4caf1a686....0.tmp
/data/data/####/9fb7626e02a28bbd535740e94011138a2e702633ff8339a....0.tmp
/data/data/####/JPushSA_Config.xml
/data/data/####/MultiDex.lock
/data/data/####/TLS_DEVICE_INFO.xml
/data/data/####/a1f4c20af594c954868da0ce07d3a24c7636fcba409c4a3....0.tmp
/data/data/####/a3086e2d54dc7653a0d30f438743ba7168fa1340baa6760....0.tmp
/data/data/####/a30b3113fde41160fc6f190821d5190a7e55787ed017747....0.tmp
/data/data/####/a3d377c8895728036895bfb4a0d22d190f773b27dd03fa1....0.tmp
/data/data/####/authStatus_com.borui.sbwh.xml
/data/data/####/b115ca688c6e21d45938b10112f3c0109a7a912a2983b19....0.tmp
/data/data/####/b18d97951d091fb40312b0d2c62a09fe1d952d8caf229ef....0.tmp
/data/data/####/b82ea027803d4c2eff73d91f90be6bc991d53f4c5edda2d....0.tmp
/data/data/####/b8c89381182638c5982cc12248e2b47859a0844131ad068....0.tmp
/data/data/####/b904cadab7ad557249ef4437aff8e77b95779a7d88b348d....0.tmp
/data/data/####/b94619bdb1c389765b23c8c2f4044fd7bf9585b088909b6....0.tmp
/data/data/####/bc7493fc4af418a57fd2a0948984316d3a5e767cbf0e651....0.tmp
/data/data/####/bd6cd03a9b7ca2988d12c1e705fdf5a77b5dc4b26c636a0....0.tmp
/data/data/####/bee720c5072878778ef7560005f1cb4b9a0b7e1e8b82954....0.tmp
/data/data/####/bugly_db_-journal
/data/data/####/bugly_db_legu-journal
/data/data/####/c20dc58893b1531c501385dc1be587585e84182c5263c6e....0.tmp
/data/data/####/c3ed9cff734ff10a277eb145e90071758cbfecdc78aa0dc....0.tmp
/data/data/####/c4e33a1e086bdba0984d632620671743f160afed9bb2429....0.tmp
/data/data/####/c4ed815e64bc80bdd7f5d8697925b217225f8f06c2a9761....0.tmp
/data/data/####/ca161d45561a8e5a51a8a57cb7bc9fa3e86f083e5626ace....0.tmp
/data/data/####/ca56a2d70b2583fde5a3aee82869e2c666075945ea964c9....0.tmp
/data/data/####/cc.db
/data/data/####/cc.db-journal
/data/data/####/ce711af12ee398ddfcea526c91c770e62f8d0cb40e152b0....0.tmp
/data/data/####/ceea814d173f87229e4be9efaa06176d817e2ad4846bad1....0.tmp
/data/data/####/cn.jpush.android.user.profile.xml
/data/data/####/cn.jpush.preferences.v2.xml
/data/data/####/com.borui.sbwh.Fragment.HomeFragment
/data/data/####/com.borui.sbwh.Fragment.ServiceFragment.Service.bm
/data/data/####/com.borui.sbwh.Fragment.home.ImportFragment.ad
/data/data/####/com.borui.sbwh.Fragment.home.ImportFragment.news.0
/data/data/####/core_info
/data/data/####/crashrecord.xml
/data/data/####/d09930f2f0dd272f2dbee61e03ab0e3ac7fc51fbb910353....0.tmp
/data/data/####/d0f22e7eced9baadec56cca3e8bf057f60deb23c7f29da6....0.tmp
/data/data/####/d5259da4de0f2a3a7ddf4ef18c666029a7958e696ac37bd....0.tmp
/data/data/####/d75e69e69a73d6504ad1a3f13403d4ede22f5d1748d4fa7....0.tmp
/data/data/####/dbac8a8c77ad245dfe27feb0a34da898ff3823a4fed2104....0.tmp
/data/data/####/de5cd3ac93ad1eaae6e04175e1105314a68a456998dcaae....0.tmp
/data/data/####/e15f84c6920843c6d67e7a1cc63694c1b86f8b080507814....0.tmp
/data/data/####/e4249c8ae686a6ed27aa41046a3c4052197abe2e837145e....0.tmp
/data/data/####/e5d91ac41ca2ef28e42e030f1779a7ba4e88b292e788d50....0.tmp
/data/data/####/e6f460a448bd10ac9e7eb5a9e79716b8fd2e49a18e77a2b....0.tmp
/data/data/####/e7d7cf85797ea04f5c60d487033dc03d170b71195c0b460....0.tmp
/data/data/####/e8fec19dd70efb932d7781584123f5e6a4f8a6fceb69943....0.tmp
/data/data/####/ea1084cc215d0c47151862dac9bbd02c5d56cccb38f43cc....0.tmp
/data/data/####/ec5c6022282f8ddc6821aa584f36e5d3ae227124ac0529d....0.tmp
/data/data/####/ef0e058f1feb0358350b55e3be92f26d0bb6a8b858d8522....0.tmp
/data/data/####/ef49ba484a3fe8aac9e67066c05226e6403802263d1e3d9....0.tmp
/data/data/####/efa917a9f075466b0479bcd15dcfa21ab5df60f157ad4eb....0.tmp
/data/data/####/exchangeIdentity.json
/data/data/####/exid.dat
/data/data/####/f4deb4d5829d2d0c04023dd6f735ac156baacc6911f0e77....0.tmp
/data/data/####/f50345eb921834df4f98bf824df236c6c177df3219d3608....0.tmp
/data/data/####/ffa333506be02d1d360a7245abd6b8f47fbd579b91a9a05....0.tmp
/data/data/####/identifier_flag.xml
/data/data/####/journal.tmp
/data/data/####/jpush_stat_cache.json
/data/data/####/libcuid.so
/data/data/####/libnfix.so
/data/data/####/libshella-2.9.1.2.so
/data/data/####/libufix.so
/data/data/####/local_crash_lock
/data/data/####/mix.dex
/data/data/####/multidex.version.xml
/data/data/####/native_record_lock
/data/data/####/report_v5.msgstore-journal
/data/data/####/security_info
/data/data/####/tbs_download_config.xml
/data/data/####/tbs_download_stat.xml
/data/data/####/tbscoreinstall.txt
/data/data/####/tbslock.txt
/data/data/####/tls_device.dat
/data/data/####/ua.db
/data/data/####/ua.db-journal
/data/data/####/umeng_general_config.xml
/data/data/####/umeng_it.cache
/data/data/####/userSettings.xml
/data/media/####/.cuid
/data/media/####/.cuid2
/data/media/####/.push_deviceid
/data/media/####/app.19.05.11.20.log
/data/media/####/imsdk_20190511.log
/data/media/####/jrwh301.apk
/data/media/####/sdk.19.05.11.20.log

Другие:

Запускает следующие shell-скрипты:

/system/bin/sh -c getprop
/system/bin/sh -c getprop ro.aa.romver
/system/bin/sh -c getprop ro.board.platform
/system/bin/sh -c getprop ro.build.fingerprint
/system/bin/sh -c getprop ro.build.nubia.rom.name
/system/bin/sh -c getprop ro.build.rom.id
/system/bin/sh -c getprop ro.build.tyd.kbstyle_version
/system/bin/sh -c getprop ro.build.version.emui
/system/bin/sh -c getprop ro.build.version.opporom
/system/bin/sh -c getprop ro.gn.gnromvernumber
/system/bin/sh -c getprop ro.lenovo.series
/system/bin/sh -c getprop ro.lewa.version
/system/bin/sh -c getprop ro.meizu.product.model
/system/bin/sh -c getprop ro.miui.ui.version.name
/system/bin/sh -c getprop ro.vivo.os.build.display.id
/system/bin/sh -c type su
chmod 700 <Package Folder>/tx_shell/libnfix.so
chmod 700 <Package Folder>/tx_shell/libshella-2.9.1.2.so
chmod 700 <Package Folder>/tx_shell/libufix.so
getprop
getprop ro.aa.romver
getprop ro.board.platform
getprop ro.build.fingerprint
getprop ro.build.nubia.rom.name
getprop ro.build.rom.id
getprop ro.build.tyd.kbstyle_version
getprop ro.build.version.emui
getprop ro.build.version.opporom
getprop ro.gn.gnromvernumber
getprop ro.lenovo.series
getprop ro.lewa.version
getprop ro.meizu.product.model
getprop ro.miui.ui.version.name
getprop ro.product.cpu.abi
getprop ro.vivo.os.build.display.id
getprop ro.yunos.version
logcat -d -v threadtime

Загружает динамические библиотеки:

BaiduMapSDK_base_v4_3_2
Bugly
_imcore_jni_gyp
jcore116
libnfix
libshella-2.9.1.2
libufix
libwtcrypto
nfix
qalcodecwrapper
qalmsfboot
txrtmpsdk
ufix

Использует следующие алгоритмы для шифрования данных:

AES-CBC-PKCS5Padding
AES-CBC-PKCS7Padding
AES-GCM-NoPadding
RSA-ECB-NoPadding
RSA-ECB-PKCS1Padding

Использует следующие алгоритмы для расшифровки данных:

AES-GCM-NoPadding

Использует специальную библиотеку для скрытия исполняемого байт-кода.

Получает информацию о сети.

Получает информацию о телефоне (номер, IMEI и т. д.).

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней