Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Triada.477.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) sf1-ttc####.ps####.com:80
- TCP(HTTP/1.1) sdm####.doula####.com:9842
- TCP(HTTP/1.1) cgi.con####.qq.com:80
- TCP(HTTP/1.1) bird-vi####.cn-hang####.log.####.com:80
- TCP(HTTP/1.1) m####.zish####.cn.####.com:80
- TCP(HTTP/1.1) azh####.com:9060
- TCP(HTTP/1.1) supload####.doula####.com:9842
- TCP(TLS/1.0) ex####.sn####.com:443
- TCP(TLS/1.0) 1####.217.20.106:443
- TCP(TLS/1.0) i.sn####.com:443
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.0) ad1.azh####.com:9190
- TCP(TLS/1.0) 2####.58.211.110:443
- TCP(TLS/1.0) 1####.217.17.138:443
- TCP(TLS/1.2) 1####.217.20.74:443
- TCP(TLS/1.2) 1####.217.17.138:443
Запросы DNS:
- a####.u####.com
- ad1.azh####.com
- ad2.azh####.com
- and####.google####.com
- azh####.com
- bird-vi####.cn-hang####.log.####.com
- cgi.con####.qq.com
- ex####.sn####.com
- i.sn####.com
- instant####.google####.com
- is.sn####.com
- m####.go####.com
- m####.zish####.cn
- sdm####.doula####.com
- sf1-ttc####.ps####.com
- supload####.doula####.com
Запросы HTTP GET:
- azh####.com:9060/v3/1/QdhYoxX37dO5qwC3/zh/en?t=####
- cgi.con####.qq.com/qqconnectopen/openapi/policy_conf?status_os=####&stat...
- m####.zish####.cn.####.com/1aa038f2f3344432a1732de266949207.jpg
- m####.zish####.cn.####.com/35bea7b69c254c13a5d292ae5fcd6cc5.jpg
- m####.zish####.cn.####.com/4030f377546d4158b8f5d5e56006f628.jpg
- m####.zish####.cn.####.com/4f3beae9460548e2b9aba76a2f877a53.jpg
- m####.zish####.cn.####.com/55e7cef9f3db4dfd9017764662d92615.jpg
- m####.zish####.cn.####.com/7fb340283c744ae185d0384ab5543a66.jpg
- m####.zish####.cn.####.com/8d7f9ed2b4254d13b1035b976f6524c5.jpg
- m####.zish####.cn.####.com/919535f57d20458ca83996ac36b33201.jpg
- m####.zish####.cn.####.com/926e74f15a234e57abfdefda4dcd01f5.jpg
- m####.zish####.cn.####.com/a8f7a3364b324098add56e3cc101066a.jpg
- m####.zish####.cn.####.com/abb9d723f8b9402286c2e5e411fd0664.jpg
- m####.zish####.cn.####.com/b73a60a357f34e0984d061b75566ddaf.jpg
- m####.zish####.cn.####.com/b7b6c86622b547cd940a915a1f76893f.jpg
- m####.zish####.cn.####.com/banner_185b7aaa2a63426b819ed80b4edf6328.jpg
- m####.zish####.cn.####.com/banner_3336e0b177914098a1098aea19ec7ee6.jpg
- m####.zish####.cn.####.com/banner_33c45a95dd4f4888bd06507c4b653c9b.jpg
- m####.zish####.cn.####.com/banner_b5de23656e7049e1a1a59e48a8609348.jpg
- m####.zish####.cn.####.com/column_06e8b401511544ba932cf3d1e5329976.jpg
- m####.zish####.cn.####.com/column_0d26382407b244c3a6a14878bcf62207.jpg
- m####.zish####.cn.####.com/column_10e48db2506d4f09bc470e4b1e750e02.jpg
- m####.zish####.cn.####.com/column_1ceedebf9dcc4f5aa04a4f8adc1e2065.jpg
- m####.zish####.cn.####.com/column_272ff8183b7e404fb7c9a36f4e32196a.jpg
- m####.zish####.cn.####.com/column_2f63774a4a3f430a953cea84a30ddc9e.jpg
- m####.zish####.cn.####.com/column_44a84d9406564c258467580de2b5aa10.jpg
- m####.zish####.cn.####.com/column_4c39a69b925d4ecea233767899f98f1d.jpg
- m####.zish####.cn.####.com/column_6dcce6f71cfc49cfa8835c6ca70af1bd.jpg
- m####.zish####.cn.####.com/column_7dec5418852d4963806c12f7fe949fcd.jpg
- m####.zish####.cn.####.com/column_7df37fa8518a436db3134723dbd604c5.jpg
- m####.zish####.cn.####.com/column_848d48b6786f47de9ebb6c7a8a44abbe.jpg
- m####.zish####.cn.####.com/column_84e16d049c124b2fbc872c089870c7f7.jpg
- m####.zish####.cn.####.com/column_a3483574a50344beb2b0ada0ff4f4c04.jpg
- m####.zish####.cn.####.com/column_a8bc1bdb4bf9427386d11e4db310f42f.jpg
- m####.zish####.cn.####.com/column_ac41670705804291bed8556e3cdf9238.jpg
- m####.zish####.cn.####.com/column_b1290c1f82f343919b363f30df2165c5.jpg
- m####.zish####.cn.####.com/column_ce85603a230b467b9469b584bdcc6ebe.jpg
- m####.zish####.cn.####.com/column_e1e479eb63364f558261a452ffa14cdb.jpg
- m####.zish####.cn.####.com/column_ee86dbf2990d47f4b3f2f5eb584294d9.jpg
- m####.zish####.cn.####.com/column_eed4cf7e8bac4e77b89f43e5baf4e67f.jpg
- m####.zish####.cn.####.com/column_ef760849fc9042a18793297eb8e4eea0.jpg
- m####.zish####.cn.####.com/column_f184c36da8b2401b919cc0b2749582ef.jpg
- m####.zish####.cn.####.com/column_f57f947e1ec64ef88411c0e9542337c5.jpg
- m####.zish####.cn.####.com/d12456f4885c4445bb320a7fa50f15aa.jpg
- m####.zish####.cn.####.com/d5f3cdfb3ec541f8b51d2d77448a7907.jpg
- m####.zish####.cn.####.com/f0c9e07e4bd346f7b7bfaeaa7b639227.jpg
- m####.zish####.cn.####.com/f14efbb64bae425bb7557fef1e21399e.jpg
- m####.zish####.cn.####.com/fac7231f9eb044a8a90220bb08fbd6ab.jpg
- m####.zish####.cn.####.com/kuku/881c140a027a4280ab60e367ff425783.jpg
- m####.zish####.cn.####.com/kuku/e69356d0f17d432080941c613ac6249a.jpg
- sf1-ttc####.ps####.com/img/ad.union.api/f01d00110289d8d83288726651f00fb6...
- sf1-ttc####.ps####.com/img/web.business.image/201908275d0d5d4deb64106741...
- supload####.doula####.com:9842/upload/mp/getConfig.do?appid=####&appVers...
Запросы HTTP POST:
- a####.u####.com/app_logs
- bird-vi####.cn-hang####.log.####.com/logstores/ad_info/shards/lb
- sdm####.doula####.com:9842/client/getLastestCartoonList
- sdm####.doula####.com:9842/client/getRandomCartoonsByTags
- sdm####.doula####.com:9842/client/user/appRegister
- sdm####.doula####.com:9842/client/user/refreshToken
- supload####.doula####.com:9842/upload/api/getBanner.do
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/022cab77e17ea2b84029e93df4b71c02b87a0d37c8c0991....0.tmp
- /data/data/####/091f37ac172c8dfe0e22798864158db55a8d2b49152dbcb....0.tmp
- /data/data/####/0c64c159ee195ead21ab01c46ff4a610f866de800f79d12....0.tmp
- /data/data/####/13ae4dea6dbed94cf170fb447462c9c28203d0de543d00f....0.tmp
- /data/data/####/1496b4e383c2f441ae7de17201b6fdf705d8fd761a7a39c....0.tmp
- /data/data/####/15c144acca41c09aea33b38c9342ff5f766bf8d30999ba8....0.tmp
- /data/data/####/1c4a4d9b13a3e3e9dff6df09b466ff398c1de258158e639....0.tmp
- /data/data/####/26768c0eab9d438f667c505576dc8a12488c1a2d06d221e....0.tmp
- /data/data/####/26d0cc99f4d689ea5197b5e7fa7ecd10de08e8d3d61d81f....0.tmp
- /data/data/####/2836940e74d4093da69dfc5948701de06ce680b922042e9....0.tmp
- /data/data/####/2ddacb0aaf9735f465bfc91abd7c98df9cadee9f5e47857....0.tmp
- /data/data/####/2e97174f256fc4ba6e63e2e410db618c6a316c06b7d1e44....0.tmp
- /data/data/####/39df71519d848e92e0b05a651cd6b43c6bc3c72e178cbcd....0.tmp
- /data/data/####/3c836e38db677d7e189a88658fdd963e.xml
- /data/data/####/3ed3c959bfa33f258fd586413e0f7f2f36ad35f5839485e....0.tmp
- /data/data/####/44e5f14b920686151ad2922fe5a0a2a5e7022dbe902160e....0.tmp
- /data/data/####/479c11e4d3b783c7f44b1990edd077d42143a7a666d13cd....0.tmp
- /data/data/####/4b74280e02a867f3ae29aabe2c957ea1de6a12d4f3b7352....0.tmp
- /data/data/####/4cd6409af11f35c9ea61674360f3bc22c8cf62d95c5059e....0.tmp
- /data/data/####/51f28c0547b3382ac77951d476c0f7d92559c51db95b883....0.tmp
- /data/data/####/59e3d678c8f55bf2870b344255af44d977c903687789e01....0.tmp
- /data/data/####/6dfb5685920debe5806b41ba63c5c0bac3b0745762ad8fc....0.tmp
- /data/data/####/7c613e4f6f55fe0ae6bd8417d2a6dbd37a1fb06dccf698d....0.tmp
- /data/data/####/7e631ce628c5007a5a3953cf6c23efb93cee5d7a03d9c10....0.tmp
- /data/data/####/85ea49af59b40c93d14700a3466bc5cc2fa3537dd7b4a7f....0.tmp
- /data/data/####/87f0f25576067ba2061683fa409b7b7033438e7d641b34f....0.tmp
- /data/data/####/8ce3dd6be9552c144ed4b778f7979b1766d0e6d39f053e6....0.tmp
- /data/data/####/923e281aa9737f03185d73a7c8773a25f616819c6947db5....0.tmp
- /data/data/####/94430655.dex
- /data/data/####/94430655.dex.flock (deleted)
- /data/data/####/94430655.jar
- /data/data/####/94430771.dex
- /data/data/####/94430771.dex.flock (deleted)
- /data/data/####/94430771.jar
- /data/data/####/9e49d8dbb7e65cd8cd8a3594e7634d036830377ce0eec8c....0.tmp
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/a07c43a57b05f9dcbe9f25f914509e5b19d6d2f161a98d8....0.tmp
- /data/data/####/b8d541e1eb1d8f45ed92bf53a21e3e30a3a788eaec38153....0.tmp
- /data/data/####/bb28dd710f604357fcb877db9f3b1106c121eeebcbeea74....0.tmp
- /data/data/####/bdbb49eeac099ca36abb44fcd04920f0f8ce73597d67dc3....0.tmp
- /data/data/####/c9f698981d3456fd97ea19ae647354229c597c1b0ece772....0.tmp
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cd626f83ce3412427f88a838395ddf200e29c7477097e13....0.tmp
- /data/data/####/com.chqy.comicqy_preferences.xml
- /data/data/####/com.chqy.comicqy_sdk_opt.xml
- /data/data/####/com.tencent.open.config.json.1106775500
- /data/data/####/d281b6f37d7d7d2fc230a4dd1adfc1719cf071ac93af1f2....0.tmp
- /data/data/####/d7196edd2504c20b44e169dfb21bb0236510303fa12482b....0.tmp
- /data/data/####/d945b367f969fb5f27d2d01d3e2e259261ebd8adaa23e38....0.tmp
- /data/data/####/dac9cd8542da577134f52a5751d73a381521869fdd4fbf5....0.tmp
- /data/data/####/downloader.db-journal
- /data/data/####/e15aec87dd83831cdc10c0dcac28c8d07b3077623967c74....0.tmp
- /data/data/####/e1a7d773c6e26e67c86a0e55a68a498dc9ba115a636e7f0....0.tmp
- /data/data/####/e5f7fa381840c871899d0afc977e5f4e265b190ebf7c1aa....0.tmp
- /data/data/####/e96f0293fd6cba68697c8799a4c344e977578e8d18c968d....0.tmp
- /data/data/####/ea4580ea5db0d25bf560a985590105e47eea7bd1c49e324....0.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f183ff691c5c3090912e5d0f6d502b47e7fb59cbc7ce502....0.tmp
- /data/data/####/f22da67e9687181d0f7fe82d5315ae854c96d6f13cff4a8....0.tmp
- /data/data/####/f3c386d2ded6936837ec39678493af5b19fb0e1e6b7ae88....0.tmp
- /data/data/####/fa49f6d87129d8d3fe31ff8cc2f4b31552c6de343c3b647....0.tmp
- /data/data/####/fbc961bc352b4fb01ab01156828f1e6558d59a5589946b7....0.tmp
- /data/data/####/journal.tmp
- /data/data/####/metrics_guid
- /data/data/####/sjmlive.xml
- /data/data/####/spdb.xml
- /data/data/####/spdb.xml.bak
- /data/data/####/them_day_night.xml
- /data/data/####/tt_materialMeta.xml
- /data/data/####/tt_sdk_settings.xml
- /data/data/####/tt_splash.xml
- /data/data/####/ttopenadsdk.xml
- /data/data/####/ttopenadsdk.xml.bak
- /data/data/####/ttopensdk.db-journal
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /proc/cpuinfo
- /system/bin/dex2oat --runtime-arg -classpath --runtime-arg & --instruction-set=x86 --instruction-set-features=smp,ssse3,sse4.1,sse4.2,-avx,-avx2,-lock_add,popcnt --runtime-arg -Xrelocate --boot-image=/system/framework/boot.art --runtime-arg -Xms64m --runtime-arg -Xmx512m --instruction-set-variant=x86 --instruction-set-features=default --dex-file=/data/user/0/<Package>/files/998791424/94430655.jar --oat-fd=34 --oat-location=/data/user/0/<Package>/files/998791424/94430655.dex --compiler-filter=speed
- /system/bin/dex2oat --runtime-arg -classpath --runtime-arg & --instruction-set=x86 --instruction-set-features=smp,ssse3,sse4.1,sse4.2,-avx,-avx2,-lock_add,popcnt --runtime-arg -Xrelocate --boot-image=/system/framework/boot.art --runtime-arg -Xms64m --runtime-arg -Xmx512m --instruction-set-variant=x86 --instruction-set-features=default --dex-file=/data/user/0/<Package>/files/998792443/94430771.jar --oat-fd=34 --oat-location=/data/user/0/<Package>/files/998792443/94430771.dex --compiler-filter=speed
- getprop ro.build.version.emui
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- DESede
- Des-ECB-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
- Des-ECB-NoPadding
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
