Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Backdoor.682.origin
- Android.RemoteCode.238.origin
- Android.Triada.477.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 1####.190.44.85:80
- TCP(HTTP/1.1) 1####.162.30.224:80
- TCP(HTTP/1.1) dy.kr.wildpet####.info:80
- TCP(HTTP/1.1) log.qazws####.xyz:80
- TCP(HTTP/1.1) 1####.14.163.10:80
- TCP(HTTP/1.1) cdn.rg####.com:8080
- TCP(HTTP/1.1) 1####.162.30.224:8011
- TCP(HTTP/1.1) pro.qazws####.xyz:80
- TCP(HTTP/1.1) 1####.175.27.5:80
- TCP(TLS/1.0) abc.lk####.com:443
- TCP(TLS/1.0) lp.cooktra####.com:443
- TCP(TLS/1.0) bcd.lk####.com:443
- TCP(TLS/1.0) log.lk####.com:443
- TCP 1####.14.143.78:23307
Запросы DNS:
- abc.lk####.com
- bcd.lk####.com
- cdn.rg####.com
- dy.kr.wildpet####.info
- kj.bec####.top
- log.lk####.com
- log.qazws####.xyz
- lp.cooktra####.com
- pro.qazws####.xyz
- sty.zk####.com
Запросы HTTP GET:
- 1####.162.30.224/api/getConfig?iso=jNo####&ch=8tcS####
- 1####.162.30.224/getInitConfig?sysVer=####&networkType=####&sdkId=####&i...
- 1####.162.30.224:8011/group1/M00/00/02/i6Ie4F147HSATMHQAABaO2A4J1w783.jar
- cdn.rg####.com:8080/group1/M00/00/00/ChmjBlvRYgOAMTleAAKTVb3Ytck.plugin
Запросы HTTP HEAD:
- 1####.162.30.224/
Запросы HTTP POST:
- 1####.162.30.224/searchReport
- 1####.175.27.5/dykr/sync
- 1####.175.27.5/dykr/update
- 1####.190.44.85/cc/v1/api?sid=####
- log.qazws####.xyz/log/save
- pro.qazws####.xyz/proxy/get?e=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/1391c60595f1c4977b2e6c01dbccad20.d
- /data/data/####/3081666.jar (deleted)
- /data/data/####/AndroidManifest.xml
- /data/data/####/PROXYDATA.xml
- /data/data/####/as_aa.xml
- /data/data/####/assets.zip
- /data/data/####/baa5a99f464eb64dae88ac8f4647aa77.d
- /data/data/####/classes.dex
- /data/data/####/com.luno.coin.nearme.gamecenter_preferences.xml
- /data/data/####/com.uutils.prefs.xml
- /data/data/####/conn-6.dex
- /data/data/####/conn-6.zip
- /data/data/####/dc77b16d19eabeb60b6be5373b90f4bb.jar
- /data/data/####/deer
- /data/data/####/dy_live.xml
- /data/data/####/flavour
- /data/data/####/full-main-req.dat
- /data/data/####/hfumobi01.zip
- /data/data/####/npms_dex.jar
- /data/data/####/resources.arsc
- /data/data/####/sdkout_qlj_um021.zip
- /data/data/####/webview.db-journal
- /data/media/####/40a82e3ea6e4ee4c91115805eec26fdf.temp
- /data/media/####/50536644a5c8ac3722ffa85ca4e8726b.xml
- /data/media/####/73d0622855ccd08e772a7cbe7e3960c2_54.73
- /data/media/####/8611fc4b3db16ab79c3be4970b9e76a2.temp
- /data/media/####/global.xml
- /data/media/####/pfg.xml
- /data/media/####/web.apk
- /data/media/####/webadlist_1.xml
- /data/media/####/webinfo.xml
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /proc/cpuinfo
- cat /sys/class/net/wlan0/address
- getprop
Использует следующие алгоритмы для шифрования данных:
- AES
- AES-ECB-PKCS5Padding
- DES
- Des-ECB-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-ECB-PKCS5Padding
- DES
- DES-ECB-NoPadding
- Des-ECB-NoPadding
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
