Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Triada.477.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) v2.g####.qq.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) p####.ugd####.com.####.com:80
- TCP(HTTP/1.1) ali.cdn.p####.com:80
- TCP(HTTP/1.1) A####.aa.z####.com:7701
- TCP(HTTP/1.1) 60.2####.41.138:80
- TCP(HTTP/1.1) p.w####.com:8088
- TCP(TLS/1.0) ad4.azh####.com:9190
- TCP(TLS/1.0) 1####.124.227.254:9190
- TCP api.ssp.my####.com:80
- TCP ky.go####.com:80
Запросы DNS:
- A####.aa.z####.com
- a####.u####.com
- ad2.azh####.com
- ad3.azh####.com
- ad4.azh####.com
- ali.cdn.p####.com
- api.ssp.my####.com
- ky.go####.com
- p####.ugd####.com
- p.w####.com
- v2.g####.qq.com
Запросы HTTP GET:
- A####.aa.z####.com:7701/bzy_rpt.php?act=####&adid=####&posid=####&adcpxy...
- ali.cdn.p####.com/bzyadidicon/AD01016_1560501685.png
- ali.cdn.p####.com/spr722tang-fixed1.dat
- p####.ugd####.com.####.com/gdt/0/DAAqNCRAEsAEsAAqBdL--_Axd9D-bf.jpg/0?ck...
- p####.ugd####.com.####.com/gdt/0/DAAqNCRAMgASwABiBdgGUtAbpJpTMm.jpg/0?ck...
- v2.g####.qq.com/gdt_stats.fcg?viewid=####&i=####&os=####&datatype=####&x...
Запросы HTTP POST:
- A####.aa.z####.com:7701/adv/bzy
- A####.aa.z####.com:7701/index.php
- a####.u####.com/app_logs
- p.w####.com:8088/plgn/s.php
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/0.xml
- /data/data/####/106435340.jar
- /data/data/####/106435357.jar
- /data/data/####/106435433.jar
- /data/data/####/106435460.jar
- /data/data/####/106435488.jar
- /data/data/####/106435512.jar
- /data/data/####/106435543.jar
- /data/data/####/106435568.jar
- /data/data/####/106435593.jar
- /data/data/####/106435621.jar
- /data/data/####/106435645.jar
- /data/data/####/106435700.jar
- /data/data/####/106435805.jar
- /data/data/####/106435939.jar
- /data/data/####/106435945.jar
- /data/data/####/106436110.jar
- /data/data/####/106436354.jar
- /data/data/####/106436831.jar
- /data/data/####/106436874.jar
- /data/data/####/CXPlugin.db-journal
- /data/data/####/_activity_timer.xml
- /data/data/####/_bactive.xml
- /data/data/####/_bdmtj.xml
- /data/data/####/_clip_board.xml
- /data/data/####/_plgm.xml
- /data/data/####/_plgm.xml.bak
- /data/data/####/_plsw.xml
- /data/data/####/_shrtct.xml
- /data/data/####/_stai.xml
- /data/data/####/_umngmtj.xml
- /data/data/####/_up_m.xml
- /data/data/####/_util_.xml
- /data/data/####/_yuntu2.xml
- /data/data/####/_yuntu2_app.xml
- /data/data/####/_yuntu2_home_key.xml
- /data/data/####/_yuntu2_interval_ad.xml
- /data/data/####/_yuntu2_kp_alive.xml
- /data/data/####/_yuntu2_power_con.xml
- /data/data/####/_yuntu2_power_dis_con.xml
- /data/data/####/_yuntu2_push_n.xml
- /data/data/####/_yuntu2_unlock.xml
- /data/data/####/_yuntu2_wh_timer.xml
- /data/data/####/_yuntu2_wifi.xml
- /data/data/####/_yuntu2_xt.xml
- /data/data/####/apkfavorite.db-journal
- /data/data/####/banner.xml
- /data/data/####/dev_info.xml
- /data/data/####/ip_cache.xml
- /data/data/####/mobclick_agent_cached_com.system.wlan1
- /data/data/####/p.xml
- /data/data/####/plugin.xml
- /data/data/####/temp_p.jar
- /data/data/####/uid-list.ini
- /data/data/####/umeng_general_conf42.xml
- /data/data/####/umeng_general_conf43.xml
- /data/data/####/umeng_general_conf57.xml
- /data/data/####/umeng_general_conf58.xml
- /data/data/####/umeng_general_conf62.xml
- /data/data/####/umeng_general_conf67.xml
- /data/data/####/umeng_general_conf85.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/userlist.xml
- /data/data/####/webview.db-journal
- /data/data/####/xUtils_http_cookie.db
- /data/data/####/xUtils_http_cookie.db-journal
- /data/data/####/xUtils_http_cookie.db-shm (deleted)
- /data/data/####/xUtils_http_cookie.db-wal
- /data/media/####/.nomedia
- /data/media/####/0
- /data/media/####/07f8b0a4e79e94943ce10e81722d3f39.xml
- /data/media/####/1
- /data/media/####/1265beca61fee157538b06f5a529091a.xml
- /data/media/####/1b34a917ef5a9ca3da9a4761ce4460a7.xml
- /data/media/####/31a15f1cba055ab6bbcc7f2f63ff97db.xml
- /data/media/####/4ac187d3c7b7620ee999fc9caf5b265d.xml
- /data/media/####/5c38297f841cd6553a0e5f86068654a7.xml
- /data/media/####/6650b0be5bbe40b28030491f7ee87fb4.xml
- /data/media/####/6bfb03012d0249a4296d1c4c904c5143.xml
- /data/media/####/812712fdd42e26aa6de05b40b40f7e60.xml
- /data/media/####/884e79a833a1d10ec92d4c1574a89f38.xml
- /data/media/####/8fba6342b6ccc23f749a7b667ba37613.xml
- /data/media/####/9f593e05f854ba8ebed4999ffc008e40.xml
- /data/media/####/a3c9b3d8de9ec146981b185c45fea0ea.xml
- /data/media/####/acc157876862d046bd4788fa641df0fa.xml
- /data/media/####/ad84ef63bcb84ab2d2af2f913b473d64
- /data/media/####/c2db699ae96a95352e0025c7432b95a3.xml
- /data/media/####/crash.txt
- /data/media/####/fdaac3f875f923ee4f192fa48984ef0e.xml
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /proc/cpuinfo
Загружает динамические библиотеки:
- iohook
Использует следующие алгоритмы для шифрования данных:
- Des-ECB-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- Des-ECB-NoPadding
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
