Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.HiddenAds.4.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) sou.dan####.com:80
- TCP(HTTP/1.1) pic.dan####.net:80
- TCP(HTTP/1.1) api.dow####.com:80
- TCP(HTTP/1.1) api.tui####.b####.com:80
- TCP(HTTP/1.1) d####.z####.com:80
- TCP(HTTP/1.1) statson####.pu####.b####.com:80
- TCP(HTTP/1.1) 1####.29.29.29:80
- TCP(HTTP/1.1) sm.dan####.com:80
- TCP(HTTP/1.1) up.dan####.com:80
- TCP(HTTP/1.1) 1####.24.152.239:80
- TCP(TLS/1.0) 1####.217.168.206:443
- TCP sa.tui####.b####.com:5287
Запросы DNS:
- a####.tui####.b####.com
- a####.u####.com
- api.dow####.com
- api.tui####.b####.com
- app.z####.com
- au.u####.co
- au.u####.com
- d####.z####.com
- mt####.go####.com
- pic.dan####.net
- sa.tui####.b####.com
- sa9.tui####.b####.com
- sm.dan####.com
- sou.dan####.com
- statson####.pu####.b####.com
- up.dan####.com
Запросы HTTP GET:
- d####.z####.com/apinew/new.php?model=####&trans=####&chanel=####&page=##...
- pic.dan####.net/down/20190810/dyzb_2.5.2_dangbei.apk
- pic.dan####.net/uploads/media/1437964906_49.jpg
- pic.dan####.net/uploads/new/141107/9-14110G433213R.png
- pic.dan####.net/uploads/new/150715/10-150G513591b54.png
- pic.dan####.net/uploads/new/150715/10-150G5135955196.png
- pic.dan####.net/uploads/new/151230/9-15123012400KO.png
- pic.dan####.net/uploads/new/170204/9-1F2041239153Y.png
- pic.dan####.net/uploads/new/170612/19-1F6121S42H29.png
- pic.dan####.net/uploads/new/170612/19-1F6121S445H3.png
- pic.dan####.net/uploads/new/170612/19-1F6121SGLG.png
- pic.dan####.net/uploads/new/170612/19-1F6121SRBM.png
- pic.dan####.net/uploads/new/170612/19-1F6121STVF.png
- pic.dan####.net/uploads/new/170612/19-1F6121T006247.png
- pic.dan####.net/uploads/new/170612/19-1F6121T309601.png
- pic.dan####.net/uploads/new/170612/19-1F6121T402293.png
- pic.dan####.net/uploads/new/170713/19-1FG316413DF.png
- pic.dan####.net/uploads/new/171101/9-1G1011559144Q.png
- pic.dan####.net/uploads/new/171204/9-1G2041I912V7.png
- pic.dan####.net/uploads/new/171205/9-1G20512541a34.png
- pic.dan####.net/uploads/new/171206/9-1G20613433G52.png
- pic.dan####.net/uploads/new/180113/9-1P1131P626149.png
- pic.dan####.net/uploads/new/180531/9-1P5311UG5c0.png
- pic.dan####.net/uploads/new/180716/9-1PG61S553357.png
- pic.dan####.net/uploads/new/180822/9-1PR215564N27.png
- pic.dan####.net/uploads/new/181029/9-1Q029140036254.png
- pic.dan####.net/uploads/new/181108/9-1Q10Q45RWT.png
- pic.dan####.net/uploads/new/181128/9-1Q12QA42N96.png
- pic.dan####.net/uploads/new/190221/9-1Z221133A31H.png
- pic.dan####.net/uploads/new/190221/9-1Z221133Q15O.png
- pic.dan####.net/uploads/new/190319/9-1Z31Z95U9D2.png
- pic.dan####.net/uploads/new/190322/9-1Z32214532Q38.png
- pic.dan####.net/uploads/new/190425/9-1Z425211526226.png
- pic.dan####.net/uploads/new/190506/9-1Z50613541I96.png
- pic.dan####.net/uploads/new/190508/9-1Z50QHJ3X9.png
- pic.dan####.net/uploads/new/190515/9-1Z5151123144S.png
- pic.dan####.net/uploads/new/190515/9-1Z515135454T7.png
- pic.dan####.net/uploads/new/190515/9-1Z5152044055W.png
- pic.dan####.net/uploads/new/190516/9-1Z516095J5J9.png
- pic.dan####.net/uploads/new/190531/9-1Z5311449303X.png
- pic.dan####.net/uploads/new/190610/9-1Z61020064C47.png
- pic.dan####.net/uploads/new/190614/9-1Z61416445W14.png
- pic.dan####.net/uploads/new/190620/9-1Z6201G953629.png
- pic.dan####.net/uploads/new/190703/9-1ZF3110J2345.png
- pic.dan####.net/uploads/new/190711/9-1ZG116401SZ.png
- pic.dan####.net/uploads/new/190802/9-1ZP2103K4H5.png
- pic.dan####.net/uploads/new/190816/9-1ZQ61A400427.png
- pic.dan####.net/uploads/new/190827/9-1ZRG94T59A.png
- pic.dan####.net/uploads/new/190827/9-1ZRGIK1349.png
- sou.dan####.com/Admin/Thirdpart/cleanapi?token=####
- up.dan####.com/api/down/weixincheck.php?basecode=####&ip=####&duankou=##...
Запросы HTTP POST:
- a####.u####.com/app_logs
- api.dow####.com/apinew/tjlistnew.php
- api.dow####.com/dbapinew/view.php?id=####
- api.tui####.b####.com/rest/2.0/channel/4294093112772579899
- api.tui####.b####.com/rest/2.0/channel/channel
- d####.z####.com//apinew/db_message.php
- d####.z####.com/apinew/downnum.php
- d####.z####.com/apinew/item_config.php
- d####.z####.com/apinew/safe/index.php
- d####.z####.com/apinew/update.php
- d####.z####.com/dbapinew/index_6_1.php
- d####.z####.com/dbapinew/tjlistnew.php
- d####.z####.com/dbapinew/tjyyout.php
- d####.z####.com/dbapinew/view/6898/?id=####
- sm.dan####.com/index.php?m=####&c=####&a=####
- sm.dan####.com/mac/tongji
- statson####.pu####.b####.com/pushlog
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/UninstalledObserver.xml
- /data/data/####/bindcache.xml
- /data/data/####/com.dangbeimarket.push_sync.xml
- /data/data/####/com.dangbeimarket.xml
- /data/data/####/com.dangbeimarket_preferences.xml
- /data/data/####/device_id.xml.xml
- /data/data/####/downloadapklog.db-journal
- /data/data/####/exchangeIdentity.json
- /data/data/####/filehelper.db
- /data/data/####/filehelper.db-journal
- /data/data/####/libjiagu.so
- /data/data/####/mobclick_agent_cached_com.dangbeimarket399
- /data/data/####/observedFile
- /data/data/####/oyys_downloader-journal
- /data/data/####/pst.xml
- /data/data/####/set.xml
- /data/data/####/setFirst.xml
- /data/data/####/share_data.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/media/####/.cuid
- /data/media/####/0d51c59b94486defaf3c191d0885d99d
- /data/media/####/1437964906_49
- /data/media/####/1437964906_49.temp
- /data/media/####/1l3uf9xh2d3k1avopb9hk8jw7.tmp
- /data/media/####/1nx2ayevf18o7qq58eusgiqrc.tmp
- /data/media/####/1s6dl8h22lemgeg0rbalik0ft.tmp
- /data/media/####/1vcyiueb7kf8y7uez62t6lwy7.tmp
- /data/media/####/1zhuiac53d0573ewzbcz5hl7b.tmp
- /data/media/####/1zmr7bmw8heie3p221cryjjqz.tmp
- /data/media/####/23508dcf85856ee26c6823d5ad520532
- /data/media/####/29p6bdfo3txfdrubk8fvadyxs.tmp
- /data/media/####/36cto2lw94z3nqja0tw7mvc9a.tmp
- /data/media/####/3d3121a6d54e662e93eb178a96a81671
- /data/media/####/3fd52ee1700dfa46abf55e3336cd6ef6
- /data/media/####/3mf1594jdwkekwvsyj5hqhyep.tmp
- /data/media/####/3s1ni14c9aibzglmf6i459z3q.tmp
- /data/media/####/3txythxlrcfeuv50d22z7dmw6.tmp
- /data/media/####/40fd4d2450cf1bc13025640b924c44f5
- /data/media/####/4d0jlhxgd4epwn0tx4h2jz0xc.tmp
- /data/media/####/4e8s0oycw1pqzeech9rgvyevg.tmp
- /data/media/####/4m054zs4ihggys7n81reuoowv.tmp
- /data/media/####/4qkmjpm03rahu9hauycea0hby.tmp
- /data/media/####/4qoyv06iaggu5l43lvo5p68ez.tmp
- /data/media/####/4vk1b4qwamsd5g5i2xjnx8jsb.tmp
- /data/media/####/51532ihiekqhuntefozx8aj2y.tmp
- /data/media/####/55d161983deced9c7321e104b3124530
- /data/media/####/5dkv10ab58nuna7xtnuz9500bdyzb_2.5.2_dangbei.apk
- /data/media/####/5seem131frc2iy53anegqonbc.tmp
- /data/media/####/5yfwslgtkh6x5hu3fd404o8sc.tmp
- /data/media/####/5zthjwyisq2qb3bm7vagarkbf.tmp
- /data/media/####/6134d4d5cefa49d54f0455f7f3a36520
- /data/media/####/62dlxkkqfztod1zorp3k22kso.tmp
- /data/media/####/649dbe05cbca9f9abea95e15e818467c
- /data/media/####/689ayz9u1d4cembnaj449bqzn.tmp
- /data/media/####/6dtwqutubds6ybl4aim452yr.tmp
- /data/media/####/6q1k1ieeixa2pghnekjcfr632.tmp
- /data/media/####/6vt47a3pwr9m4juo99dbw4cnt.tmp
- /data/media/####/75buh9l36ms3c4qworerb2uho.tmp
- /data/media/####/77smbgnvqfa3fvbz9ces40bax.tmp
- /data/media/####/786ddc78eb7b05b0e0cf0b6719550221
- /data/media/####/7c0ad8c12fd761497249a1a7b8f1fd63
- /data/media/####/7db0acca42aa3e9c2a61b1417bd737a3
- /data/media/####/7kfbjn78f55m4ge5yu9og3o60.tmp
- /data/media/####/8072911ae711a1b20d17afa0efc9553a
- /data/media/####/8f00034bb0eb86bce34fa712ca5f23b5
- /data/media/####/9-15123012400KO.temp
- /data/media/####/9-1G20512541a34.temp
- /data/media/####/9-1PG61S553357.temp
- /data/media/####/9-1Q12QA42N96.temp
- /data/media/####/9-1Z50QHJ3X9.temp
- /data/media/####/9-1Z5152044055W.temp
- /data/media/####/9-1Z6201G953629.temp
- /data/media/####/9-1ZF3110J2345.temp
- /data/media/####/971503c7ba6bdfa081f7f3947acb539a
- /data/media/####/a0b91b7956f79f9b00efaf86aac21f6e
- /data/media/####/apps
- /data/media/####/b25abaad5f27bd27119a2bf96e98f0d5
- /data/media/####/bf46e231a1b8fb25698fabc66c86d7da
- /data/media/####/c2kt505l74po2u8vfhhorkd2.tmp
- /data/media/####/de63e5272e76464ae9ee98c8f34e6745
- /data/media/####/e0650af9a5dc2f1e5903f95d16a36bf1
- /data/media/####/exceptionInfo.log
- /data/media/####/f1f3e8ece65d1ffae58b6739774c2a75
- /data/media/####/f2e71e8f6826a95ee7fc720e9dfd5f33
- /data/media/####/g519gowr3irnk9o0vcschbjm.tmp
- /data/media/####/pushlappv2.db
- /data/media/####/pushlappv2.db-journal
- /data/media/####/pushstat_4.5.3.db
- /data/media/####/pushstat_4.5.3.db-journal
- /data/media/####/rwwdml60gtedqhgudirph6ml.tmp
- /data/media/####/sdy7qp05gokctm4j4gtfrv6l.tmp
- /data/media/####/temp
- /data/media/####/uuid
Другие:
Запускает следующие shell-скрипты:
- adb -P 5038 fork-server server
- adb connect 127.0.0.1
- chmod 777 /storage/emulated/0/dangbei_downlaoder/5dkv10ab58nuna7xtnuz9500bdyzb_2.5.2_dangbei.apk
- setprop persist.service.adb.enable 1
Загружает динамические библиотеки:
- bdpush_V2_3
- bspatch
- dangbeilib
- libjiagu
- uninstalled_observer
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- RSA-ECB-PKCS1Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
