Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.860.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) src.r####.com.####.com:80
- TCP(HTTP/1.1) wild####.cdn####.blu####.####.net:80
- TCP(HTTP/1.1) pat.f####.com.####.net:80
- TCP(HTTP/1.1) dc.l####.com:80
- TCP(HTTP/1.1) api.no4####.com:80
- TCP(HTTP/1.1) sdk.c####.com:80
- TCP(HTTP/1.1) mv.sz####.com:80
- TCP(TLS/1.0) an####.l####.com:443
- TCP(TLS/1.0) dualsta####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) 1####.217.168.206:443
Запросы DNS:
- a####.3k7.net
- a####.g####.net
- an####.l####.com
- api.no4####.com
- dc.l####.com
- mv.ekey####.com
- mv.sz####.com
- pat.f####.com
- plb####.u####.com
- sdk.c####.com
- src.r####.com
- u####.u####.com
Запросы HTTP GET:
- api.no4####.com/api/app/member/ver2/user/login/2/286?uuid=####&model=###...
- api.no4####.com/api/app/video/ver2/sys/queryBannerList/2/286?plateId=###...
- api.no4####.com/api/app/video/ver2/user/clickPlayVideo_2_2/2/286?time=##...
- api.no4####.com/api/app/video/ver2/video/columnNewPage/2/286?plateId=###...
- api.no4####.com/api/app/video/ver2/video/queryVideoInfoRank/2/286?time=#...
- api.no4####.com/api/app/video/ver2/video/searchUserShouldLike/2/286?vide...
- api.no4####.com/api/app/video/ver2/video/searchVideoInfoDetail_v2_2/2/28...
- mv.sz####.com/mahua/img/20181124/42/2bfe8c46cfa1709b7a94ae9092ad90.png
- mv.sz####.com/mahua/img/20181210/3d/5aa42f91ac613ad9d39437866d1c46.jpg
- mv.sz####.com/mahua/img/20190208/40/14624730c672176ee379f0a2f5f7f1.jpg
- mv.sz####.com/mahua/img/20190216/b6/b10cba05efd9b2acfb7ebead6bcafa.jpg
- mv.sz####.com/mahua/img/20190227/07/d6d3c304cb779b0338645f21ffeca0.jpg
- mv.sz####.com/mahua/img/20190307/7d/4e057e8bd4aadd74dc5978515c2c71.jpg
- mv.sz####.com/mahua/img/20190308/33/0bb84c77f10c958f35cb83384d7fa9.jpg
- mv.sz####.com/mahua/img/20190308/8b/a554ebc739af562ac072c7ce444564.jpg
- mv.sz####.com/mahua/img/20190315/6b/468b444faedcbedca5934e7217e577.jpg
- mv.sz####.com/mahua/img/20190315/6c/d83c31fb00d0a7a24a852c297c5163.jpg
- mv.sz####.com/mahua/img/20190319/b0/b92d9aff94834bb0f4c14165b32a11.jpg
- mv.sz####.com/mahua/img/20190326/a7/3c8c282d33d9d480497dabfe11e41b.jpg
- mv.sz####.com/mahua/img/20190401/a9/604810f205bd72ecec0d2719edc9fe.png
- mv.sz####.com/mahua/img/20190402/89/cc3252ea686b9cb3fd602b653659bb.jpg
- mv.sz####.com/mahua/img/20190403/21/98f259d588edb0879ea59064b438f4.jpg
- mv.sz####.com/mahua/img/20190404/8a/dd24353e8060997091379f41e7d8ee.jpg
- mv.sz####.com/mahua/img/20190405/cd/6f11ef2ae6b766cd75b69bf6ae3cde.jpg
- mv.sz####.com/mahua/img/20190406/cd/e17106e3ccb900fac6381c98b6da7d.jpg
- mv.sz####.com/mahua/img/20190407/d7/89dbef9ca57e95a65b1df5c521abdc.jpg
- mv.sz####.com/mahua/img/20190409/40/d7e943eeb69881acf2766557c8c18d.jpg
- mv.sz####.com/mahua/img/20190411/54/77b4d5bb228aa68f44e058793f0760.jpg
- mv.sz####.com/mahua/m_img/101/7e53bbeae26780748df71cf4827af3c6.jpg
- mv.sz####.com/mahua/m_img/102/755c5338d9115243558fe4df580c146c.jpg
- mv.sz####.com/mahua/m_img/22/0f04598b26f7a63a6cac6431440f3a5e.jpg
- mv.sz####.com/mahua/m_img/54/155fa4d16e564d34411b623373ea916e.jpg
- pat.f####.com.####.net/uploads/picture/2016/04/04/1554350779.jpg
- pat.f####.com.####.net/uploads/picture/2016/04/19/1555661671.jpg
- src.r####.com.####.com/kubo/dex/back.png
- src.r####.com.####.com/kubo/dex/luomi_9.1.28.dex
- src.r####.com.####.com/kubo/img/web_close.png
- wild####.cdn####.blu####.####.net/mahua/328/ha7r9z89i9d234y/ha7r9z89i9d2...
Запросы HTTP POST:
- dc.l####.com/adLogs/adLog
- dc.l####.com/startLog/startLog
- dc.l####.com/wLog/wLog
- sdk.c####.com/getsiteapi.php
- sdk.c####.com/sdkallapi.php
- sdk.c####.com/sdkapi.php
- sdk.c####.com/sdkreapi.php
- sdk.c####.com/versiontapi.php?v=####&type=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/0447aa2bcd9204f368c6fe3ebfc884b4ab5034ee20633e8....0.tmp
- /data/data/####/10b66b3b1d32784a7ad34b5e9d48e2b10816b4c1bae639c....0.tmp
- /data/data/####/132e288d9d52b9a2994ef5c835dff40244b3a21ccb1f9e5....0.tmp
- /data/data/####/2ec49f2aed73ee59ad268bcfcabc5b9696a0062ce698519....0.tmp
- /data/data/####/2f6103c0377c77a86a06390425ee958c120bf8486075383....0.tmp
- /data/data/####/32d1dfe6db944565d2e0d1ec15f854c6c1079e314703b50....0.tmp
- /data/data/####/3725dcf8e6bb9f6ff31e6866608ea8b2b3c44d9290bc48f....0.tmp
- /data/data/####/38f1dc805b1a1aef103da6f3912090a10f0819ee65dfebf....0.tmp
- /data/data/####/3d3e29b5068ad90fa7a2ec43394436ab5305e91a3979764....0.tmp
- /data/data/####/3f04288f3466b528ba658a0cb874c241ec74b53caddaa5c....0.tmp
- /data/data/####/40e0504e5757951defa40a0b662569310b6739682842d52....0.tmp
- /data/data/####/48f1690e9213c288eff2d4f28dfcd334abdee6c401ca715....0.tmp
- /data/data/####/6198f1b8bb0e06469b5dc4ec5f711f7c117ec0d049e1ecb....0.tmp
- /data/data/####/61e212747b2845794633ac21f58a87ea8fd6c0ac823e8fa....0.tmp
- /data/data/####/671a7934afb8b97f0e61f4f3d444dc40c650975854f9dbe....0.tmp
- /data/data/####/671db2b88a668c4b54d979a5eb0dae166174bc9d4572904....0.tmp
- /data/data/####/72632927e5830422bb734a9dbe56c09d905d73f49033813....0.tmp
- /data/data/####/819c96fd81b8e68d522b73d652ce6e73b58627c3f7ec23c....0.tmp
- /data/data/####/854c13e2bc4b47d9fefe9a6666583d55ffeee36adbf489c....0.tmp
- /data/data/####/86a5c6fe045ca3b5955dd6bb2ba62b099afb0fb2dfc1452....0.tmp
- /data/data/####/9cf2d8d8830a8550af9d57ebd921eee7edf1f6d4327fd2d....0.tmp
- /data/data/####/MultiDex.lock
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/acb67ef24b55a733a740205da9750be72dd6b078411740e....0.tmp
- /data/data/####/ax_c.xml
- /data/data/####/b091dcec10b50193daccd8163d2337180d263e83dc80d03....0.tmp
- /data/data/####/c918b062c5f9c234f715a122a0a5e24e2820f65e8b1b9c1....0.tmp
- /data/data/####/cfd09586e964315b40ab7dbb965f9485f8f657cb15f271e....0.tmp
- /data/data/####/d5276e70c9bb909f7aa198033d21dbbe9eeeb47fbee8d30....0.tmp
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTU4MjAzMjEzMTY1;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTU4MjAzMjM5NDgz;
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/e21266ba294b2564bb4b10ca0fc8a2e0da46916fd8520fb....0.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f8c5959243ef8e85515c79b8f2ececd5af8512f1c390b76....0.tmp
- /data/data/####/fca8203d557560f4018db0ab754e95e2ccbd225acd6d032....0.tmp
- /data/data/####/gg.dex
- /data/data/####/i==1.2.0&&1.2.02_1558203213197_envelope.log
- /data/data/####/i==1.2.0&&1.2.02_1558203239567_envelope.log
- /data/data/####/index
- /data/data/####/info.xml
- /data/data/####/journal.tmp
- /data/data/####/log-manager.xml
- /data/data/####/mc181.dex
- /data/data/####/mc_cache.xml
- /data/data/####/multidex.version.xml
- /data/data/####/t==8.0.0&&1.2.02_1558203213847_envelope.log
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/umdat.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_common_location.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.a.dat
- /data/media/####/.adfwe.dat
- /data/media/####/.cca.dat
- /data/media/####/.umm.dat
- /data/media/####/sysid.dat
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- ls /
- ls /sys/class/thermal
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
