Android.Triada.4208

Техническая информация

Вредоносные функции:

Выполняет код следующих детектируемых угроз:

Android.Triada.155.origin
Android.Triada.248.origin

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) a####.u####.com:80
TCP(HTTP/1.1) api.var####.com:80
TCP(HTTP/1.1) 49.51.1####.237:80
TCP(HTTP/1.1) loc.map.b####.com:80
TCP(HTTP/1.1) bd1.g-s####.com.####.com:80

Запросы DNS:

a####.u####.com
api.var####.com
au.u####.co
au.u####.com
bd1.g-s####.com
fb.u####.com
l.ace####.com
loc.map.b####.com

Запросы HTTP GET:

bd1.g-s####.com.####.com/ando-res/ads/30/14/f15541de-b7bd-4ff9-97fb-9e6c...
bd1.g-s####.com.####.com/ando-res/ads/5/28/68abc385-81d9-4cf7-9241-a4fe1...
bd1.g-s####.com.####.com/ando-res/m/hQFsvuTOjQG2grLU8T2VCshw4jkuJadBny-GDQ
bd1.g-s####.com.####.com/ando-res/m/s3KOUSTUNwqwJOgW89Tsl-Qlaroq07gDVNfY...

Запросы HTTP POST:

a####.u####.com/app_logs
api.var####.com/ando/v1/x/ap?app_id=####&r=####
api.var####.com/ando/v1/x/lv?app_id=####&r=####
api.var####.com/ando/v1/x/qa?app_id=####&r=####
api.var####.com/ando/x/lis?app_id=####&r=####
api.var####.com/ando/x/liv?app_id=87914900-b47f-4223-96fd-499aad15ff48&r...
api.var####.com/ando/x/req?app_id=####&r=####
loc.map.b####.com/sdk.php

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/.imprint
/data/data/####/27d15f34-ad62-422e-97af-e7582c203785.res
/data/data/####/29a39185-f9f5-4bde-999f-5ea047666db3.pic
/data/data/####/3-fYkUj4pY1_Bqhgls8fYQ==
/data/data/####/3-fYkUj4pY1_Bqhgls8fYQ==.new
/data/data/####/41bvP-DFOnJ4IErPntDNcMUDl-PeXavi.new
/data/data/####/571a7627-f6cd-4709-92f8-1d81ca03f601.res
/data/data/####/5ba44a50-599e-4c0a-a859-8701a8371b23.pic.temp
/data/data/####/5bkPEGdS-cOuDJJQFIKBglyDWD1O6Ght.new
/data/data/####/7o_g0rJbcdP9_XUwRIOAdCa0WBQ=.new
/data/data/####/8DlVgDRs2blu88d-TJGFWQl_mVeiVWcCHSJsAUMREBg=.new
/data/data/####/8sGu7Wg-al11ib-W.zip
/data/data/####/9nnL9V-jzR8SA9V-UiyKFArgSM8tWJHT18OyLg==.new
/data/data/####/ADlrK3pEZm9W8pUJZjJDiXEtBvU=
/data/data/####/Az8Kpi7k88EPgpUEwXkUNK6bJZo1EQYM.new
/data/data/####/BgfYxg5yZnk7bq2g73ZukQ==.new
/data/data/####/BnlO91WmVo2NG7g33ijs6wI9-QWsY7MC5SI5NVj3v9g=.new
/data/data/####/CA-_v1DiU23Cc-ju
/data/data/####/F0tUFF-_rcWradFrUvBr47UTlGoXusSB3vYbS5-JLRp_xLH...7_Xj3u
/data/data/####/F0tUFF-_rcWradFrUvBr47UTlGoXusSB3vYbS5-JLRp_xLH...G8MQ==
/data/data/####/F0tUFF-_rcWradFrUvBr47UTlGoXusSB3vYbS5-JLRp_xLH...Gm3M4=
/data/data/####/F0tUFF-_rcWradFrUvBr47UTlGoXusSB3vYbS5-JLRp_xLH...eJ_ff_
/data/data/####/F0tUFF-_rcWradFrUvBr47UTlGoXusSB3vYbS5-JLRp_xLH...jIpQ==
/data/data/####/F0tUFF-_rcWradFrUvBr47UTlGoXusSB3vYbS5-JLRp_xLH...ournal
/data/data/####/GILrOBpQ_0-27AWLD4kitmjMbNWoGZf9lm0osw==.new
/data/data/####/QHPUEiTqhovhyQgO3Cm5nA==
/data/data/####/UcM9QZyO3c-e-f-kFAZhgMjf2Qs=.new
/data/data/####/Watermark.db
/data/data/####/Watermark.db-journal
/data/data/####/YrYxJtyPtJqZsIZhAijktjGD4KW0KiEj_hGJFWgPpdM=.new
/data/data/####/_VCAVVfhBjC7ADm2CmWk3XPvKp9d2wmsGw1DowARFMk=.new
/data/data/####/a0b7f620-7ab8-48c6-83f0-1a1e881ae73a.pic.temp
/data/data/####/appInfo.json
/data/data/####/blxukfOxsdH5M6Oqcj_oZLcjmaldnxMl.new
/data/data/####/common_share_file.xml
/data/data/####/cr1tXXCSVwQaRZwjBqP61MzuGk4=.new
/data/data/####/d24c02c7-bbe8-46d8-93dc-f0e90e062ae9.pic
/data/data/####/data.dat.tmp
/data/data/####/download.db-journal
/data/data/####/ey01Df3MYR2sLKehT-uYvA==.new
/data/data/####/hSd9YomYT6GmRYa9
/data/data/####/i2riHdvI6EcO-H_l6q0aWmtgKlI=
/data/data/####/icIIOGeMM-cvFYJ-0VXpUkN6Gtydz9_a.new
/data/data/####/l5kgUMT2XpWocxq3yn34Mg==.new
/data/data/####/l_2M4xEbfwGAUMeUQldljM3BeRw=
/data/data/####/l_2M4xEbfwGAUMeUQldljM3BeRw=.temp
/data/data/####/o_ZI5qmiM5wSyYzoAUmdVNxstgzbUruJ.new
/data/data/####/ovF4B4fxtTr3rRNRI2MRmf-zeB4=.new
/data/data/####/qzQJzNT7ktCAuTjYGb_77xIt2GIC0VjFJWrp0qq9jXw=
/data/data/####/runner_info.prop.new
/data/data/####/sheoxa_f.zip
/data/data/####/tIky_qH7p1yTD_sz.new
/data/data/####/tSju-e_tpLp2aMa-C3u-sUb09m8=.new
/data/data/####/u3k8sujLSu0vjNNDoKyxow==.new
/data/data/####/uS-emZy9iEbfU7eUcQyJu4Q8XNTFt7RY1_n-kw==.new
/data/data/####/umeng_feedback_conversations.xml
/data/data/####/umeng_feedback_user_info.xml
/data/data/####/umeng_general_config.xml
/data/data/####/umeng_it.cache
/data/data/####/vVUNk2aK2RGsJbbZmeMAPNokcF9FpC0l.new
/data/data/####/wHjFFlhDzXmDqVQZ0DXAReSXD4s=.new
/data/data/####/wnYbIHlg5htUzzXdZ3ALx8qC9Jc=.new
/data/data/####/zNcke4KBLQBg_zBiGWdrwPjMHaULj-Rf.new
/data/data/####/zaFcwto-8SV44mBDsLSR8T7PReRrnbDNba_VbA==
/data/media/####/.nomedia
/data/media/####/.uunique
/data/media/####/.uunique.new
/data/media/####/3c798b78-4158-4d0a-a506-0cdb0b95450f.res
/data/media/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
/data/media/####/662e79e6-b4fd-4480-a98d-84df1b0e118d.res
/data/media/####/867f98c5-a09d-49ee-b504-e939867b7a2f.res
/data/media/####/9f514134-8b74-4db4-9b70-24e70b56994b.res
/data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
/data/media/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
/data/media/####/MP8MtaBuguN9jnuSwtN1kQ==
/data/media/####/ls.db
/data/media/####/ls.db-journal
/data/media/####/r_pkDgN4OhnkSa0D

Другие:

Запускает следующие shell-скрипты:

./CA-_v1DiU23Cc-ju <Package> <Package>.uqqrxq.a.a.c.b
<Package Folder>/code-8046895/CA-_v1DiU23Cc-ju -p <Package> -c <Package>.uqqrxq.a.a.c.b -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
sh <Package Folder>/code-8046895/CA-_v1DiU23Cc-ju -p <Package> -c <Package>.uqqrxq.a.a.c.b -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung

Загружает динамические библиотеки:

bspatch
locSDK4d

Осуществляет доступ к приватному интерфейсу ITelephony.

Получает информацию о местоположении.

Получает информацию о сети.

Получает информацию о телефоне (номер, IMEI и т. д.).

Получает информацию об установленных приложениях.

Получает информацию о запущенных приложениях.

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней