Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Triada.477.origin
- Android.Triada.481.origin
- Android.Triada.491.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) fasl####.lk####.com:80
- TCP(HTTP/1.1) f####.google####.com:80
- TCP(HTTP/1.1) fff.abcdse####.com:8666
- TCP(HTTP/1.1) cdn.dc####.com:8080
- TCP(HTTP/1.1) nicele####.top:80
- TCP(HTTP/1.1) cdn.hw####.com:8080
- TCP(HTTP/1.1) v2.u####.cc:80
- TCP(TLS/1.0) abc.lk####.com:443
- TCP(TLS/1.0) pag####.googles####.com:443
- TCP(TLS/1.0) adser####.go####.nl:443
- TCP(TLS/1.0) www.googlet####.com:443
- TCP(TLS/1.0) adser####.go####.com:443
- TCP(TLS/1.0) bcd.lk####.com:443
- TCP(TLS/1.0) googl####.g.doublec####.net:443
- TCP(TLS/1.0) log.lk####.com:443
- TCP(TLS/1.0) 1####.217.168.206:443
Запросы DNS:
- abc.lk####.com
- adser####.go####.com
- adser####.go####.nl
- bcd.lk####.com
- cdn.dc####.com
- cdn.hw####.com
- f####.google####.com
- fasl####.lk####.com
- fff.abcdse####.com
- googl####.g.doublec####.net
- log.lk####.com
- nicele####.top
- pag####.googles####.com
- v2.u####.cc
- www.googlet####.com
Запросы HTTP GET:
- cdn.dc####.com:8080/group1/M01/00/04/ChmjBl01et-ACTmDAAHkSxW2dOE.plugin
- cdn.dc####.com:8080/group1/M01/00/05/ChmjBl1NMriAZqJLAAMoqjMwbvI.plugin
- cdn.hw####.com:8080/blank.html
- f####.google####.com/css?family=####
- fasl####.lk####.com/ads/248hwkwffddsd/0905ggxpcndsfkgrhekjda.js
- nicele####.top/
- nicele####.top/img/2007english/Next.jpg
- nicele####.top/plus/view.php?aid=####
- nicele####.top/templets/helen/skin/css/common-debug_50f4f76.css
- nicele####.top/templets/helen/skin/css/default-skin.css
- nicele####.top/templets/helen/skin/css/detail.css
- nicele####.top/templets/helen/skin/css/hotnews15112301.min.css
- nicele####.top/templets/helen/skin/css/pagelet_dfa255f.css
- nicele####.top/templets/helen/skin/css/photoswipe.css
- nicele####.top/templets/helen/skin/css/static.css
- nicele####.top/templets/helen/skin/css/touch.css
- nicele####.top/templets/helen/skin/css/toutiao16021901.css
- nicele####.top/templets/helen/skin/css/toutiao_v2.min.css
- nicele####.top/uploads/allimg/c190711/1562Pb345DF-24113.jpg
- nicele####.top/uploads/allimg/c190829/15C04455431E0-25321.jpg
- nicele####.top/uploads/allimg/c190906/15CK12192110-14307.png
- nicele####.top/uploads/allimg/c190906/15CK123100450-1N06_lit.jpg
- nicele####.top/uploads/allimg/c190906/15CK123424I0-1C26_lit.jpg
- nicele####.top/uploads/allimg/c190906/15CK123Q4640-13Y9_lit.jpg
- nicele####.top/uploads/allimg/c190906/15CK124F1350-1CY_lit.jpg
- nicele####.top/uploads/allimg/c190906/15CK125123310-11595_lit.jpg
- nicele####.top/uploads/allimg/c190906/15CK12913O10-IK0.jpg
- nicele####.top/uploads/allimg/c190906/15CK12C00N0-1S24_lit.jpg
- nicele####.top/uploads/allimg/c190906/15CK12L06310-12G0_lit.jpg
- nicele####.top/uploads/allimg/c190906/15CK12O05B0-110A_lit.jpg
- nicele####.top/uploads/allimg/c190906/15CK12X013P-19220_lit.jpg
- nicele####.top/uploads/allimg/c190906/15CK1304R60-35041.jpg
- nicele####.top/uploads/allimg/c190906/15CK131523L0-3X47.jpg
- nicele####.top/uploads/allimg/c190906/15CK132925c0-45W7.jpg
- nicele####.top/uploads/allimg/c190906/15CK2244295Z-111647.jpg
- nicele####.top/uploads/allimg/c190906/15CK22R39530-64G1.jpg
- nicele####.top/uploads/allimg/c190906/15CK22Y02250-624L.jpg
- nicele####.top/uploads/allimg/c190906/15CK2303V4P-19326_lit.jpg
- nicele####.top/uploads/allimg/c190906/15CK2311R2P-1I05.jpg
- nicele####.top/uploads/allimg/c190906/15CK2311R2P-1I05_lit.jpg
- nicele####.top/uploads/allimg/c190906/15CK2320P520-15530.jpg
- nicele####.top/uploads/allimg/c190906/15CK2320P520-15530_lit.jpg
- v2.u####.cc/code/uyan.js?uid=####
Запросы HTTP HEAD:
- cdn.hw####.com:8080/blank.html
- fasl####.lk####.com/ads/248hwkwffddsd/0905ggxpcndsfkgrhekjda.js
Запросы HTTP POST:
- fff.abcdse####.com:8666/bd/getIp
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/1298660694.jar
- /data/data/####/1298660731.jar
- /data/data/####/2078793401
- /data/data/####/61e0774383cd745dee17e79819aa0a73.jar
- /data/data/####/7c421d9a4b365ac941e02ad015373bd1.jar
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/CachedGeoposition.db
- /data/data/####/CachedGeoposition.db-journal
- /data/data/####/GuuSDK.xml
- /data/data/####/com.google.android.gms.appid-no-backup
- /data/data/####/com.google.android.gms.appid.xml
- /data/data/####/com.google.android.gms.measurement.prefs.xml
- /data/data/####/com.google.android.gms.measurement.prefs.xml.bak
- /data/data/####/com.google.android.gms.measurement.prefs.xml.bak (deleted)
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/f_00000b
- /data/data/####/f_00000c
- /data/data/####/f_00000d
- /data/data/####/f_00000e
- /data/data/####/f_00000f
- /data/data/####/f_000010
- /data/data/####/google_app_measurement_local.db
- /data/data/####/google_app_measurement_local.db-journal
- /data/data/####/index
- /data/data/####/nyc.db-journal
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/work_sp.xml
- /data/media/####/.nomedia
- /data/media/####/0845cdf7f3d5f4030c727920c5f0a6aa.temp
- /data/media/####/1f2090c2ad72ce5c7f55933870e5dc28.temp
- /data/media/####/2be57bb9f3dd19473775d007428fe2ca.xml
- /data/media/####/397f0f93190168b647cbc6d304c02993_66.39
- /data/media/####/4acd3f3c1da2ddf4f0513901737d6d03.cache
- /data/media/####/4acd3f3c1da2ddf4f0513901737d6d03.cache (deleted)
- /data/media/####/61e2ea407c883e2b664b7fb2890fe703
- /data/media/####/7fc7330d604c9fe3daa0821e332f66b8.chche
- /data/media/####/988531cc13d548e14c7021d122b4913e_74.98
- /data/media/####/d322fd6cfd0adebd39d6b17421f31bd1.chche
- /data/media/####/dce234837c86c1943ef0e204a40eab0e.temp
- /data/media/####/ff95306db3523faa803a8225e3cf17a2.temp
- /data/media/####/global.xml
- /data/media/####/pfg.xml
- /data/media/####/selfrun.apk
- /data/media/####/use.xml
- /data/media/####/web.apk
- /data/media/####/webadlist_1.cache
- /data/media/####/webadlist_1.xml
- /data/media/####/webadlist_1_last.cache
- /data/media/####/webinfo.xml
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /proc/cpuinfo
Загружает динамические библиотеки:
- sqlc-native-driver
Использует следующие алгоритмы для шифрования данных:
- DES-ECB-NoPadding
- Des-ECB-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- DES-ECB-NoPadding
- Des-ECB-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
