Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Triada.477.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) api.b####.lie####.cn:80
- TCP(HTTP/1.1) api.sdk.f####.cn:80
- TCP(HTTP/1.1) ly-xiao####.oss-cn-####.aliy####.com:80
- TCP(HTTP/1.1) me####.t####.com.####.cn:80
- TCP(HTTP/1.1) api.v2.sdk.####.cn:80
- TCP(HTTP/1.1) oss-cn-####.aliy####.com:80
- TCP(HTTP/1.1) 2####.205.239.188:80
- TCP(TLS/1.0) av1.x####.com:443
- TCP(TLS/1.0) dualsta####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) h####.b####.com:443
- TCP(TLS/1.0) c####.x####.com:443
- TCP(TLS/1.0) p####.ou####.com:4433
- TCP(TLS/1.0) abc.abcdse####.com:8888
Запросы DNS:
- abc.abcdse####.com
- api.b####.lie####.cn
- api.sdk.f####.cn
- api.v2.sdk.####.cn
- av1.x####.com
- c####.x####.com
- c####.x####.com
- h####.b####.com
- j####.lie####.cn
- log.u####.com
- ly-xiao####.oss-cn-####.aliy####.com
- me####.t####.com
- oss-cn-####.aliy####.com
- p####.ou####.com
- plb####.u####.com
- u####.u####.com
Запросы HTTP GET:
- api.b####.lie####.cn/Api/Topic/getHotTopicAndComment?book_id=####
- api.b####.lie####.cn/Api/start_pic/startpiclist
- api.b####.lie####.cn/Book/detail?bookId=####
- api.b####.lie####.cn/Book/getListByAuthor?author=####&start=####&limit=#...
- api.b####.lie####.cn/Book/getListByCatId?cat=####&start=####&limit=####&...
- api.b####.lie####.cn/Book/homeBookNew?gender=####
- api.b####.lie####.cn/Book/homeFindNew
- api.b####.lie####.cn/Home/Book/getFindNewBookCircle?limit=####&page=####
- api.b####.lie####.cn/Service/getAppVersion?channelId=####&packageName=##...
- api.b####.lie####.cn/Service/reportDevice?factor=####&imei=####&imsi=###...
- api.b####.lie####.cn/User/getAdFreeConfig?token=####
- api.b####.lie####.cn/User/getInfo?token=####
- api.b####.lie####.cn/advert/getListByBookId?book_id=####
- api.b####.lie####.cn/service/getAdConfig?channelId=####&device_type=####...
- api.b####.lie####.cn/user/syncUserBooksByAdmin?gender=####&token=####
- api.sdk.f####.cn/v2/initUrl?appId=####
- ly-xiao####.oss-cn-####.aliy####.com/book/book_cover_1/152984.jpg
- ly-xiao####.oss-cn-####.aliy####.com/book/changdu/117344.jpg
- ly-xiao####.oss-cn-####.aliy####.com/book/yueming/126646.jpg
- ly-xiao####.oss-cn-####.aliy####.com/book/yumao/112741.jpg
- ly-xiao####.oss-cn-####.aliy####.com/book/yumao/112789.jpg
- ly-xiao####.oss-cn-####.aliy####.com/book/yumao/113169.jpg
- ly-xiao####.oss-cn-####.aliy####.com/book/yumao/113449.jpg
- ly-xiao####.oss-cn-####.aliy####.com/xiaoshuo/system_admin/2019-08-23/1c...
- ly-xiao####.oss-cn-####.aliy####.com/xiaoshuo/user_avatar/2019_07_27/5d3...
- ly-xiao####.oss-cn-####.aliy####.com/xiaoshuo/user_avatar/2019_08_19/5d5...
- ly-xiao####.oss-cn-####.aliy####.com/xiaoshuo/user_avatar/2019_09_02/5d6...
- ly-xiao####.oss-cn-####.aliy####.com/xiaoshuo/user_header_v/04cb72c714ce...
- ly-xiao####.oss-cn-####.aliy####.com/xiaoshuo/user_header_v/0d930e5bd1e8...
- ly-xiao####.oss-cn-####.aliy####.com/xiaoshuo/user_header_v/4362e8b2634a...
- ly-xiao####.oss-cn-####.aliy####.com/xiaoshuo/user_header_v/f85e5443122e...
- me####.t####.com.####.cn/2013/09/17/5/7/e/4/57e49699db2f4d9eb83e4a7dc940...
- me####.t####.com.####.cn/2015/11/24/5/c/c/a/5cca3221f606410bae1ec32ba7b4...
- me####.t####.com.####.cn/2016/06/23/1/d/c/5/1dc5d1202cc948b7ad916c7197b5...
- me####.t####.com.####.cn/2016/07/04/a/9/3/2/a932d19121944be8abbce35f8c79...
- me####.t####.com.####.cn/2016/11/10/c/e/8/d/ce8d4e14b702490db1deb6f4dcd9...
- me####.t####.com.####.cn/2018/03/28/c/5/1/b/c51b960815a24bd58d5b4e18a327...
- oss-cn-####.aliy####.com/ly-xiaoshuo/xiaoshuo/2019-07-16/5d2d34375560f.jpg
- oss-cn-####.aliy####.com/ly-xiaoshuo/xiaoshuo/2019-08-12/5d50df4380901.png
- oss-cn-####.aliy####.com/ly-xiaoshuo/xiaoshuo/2019-08-21/5d5d3c7cf3952.png
- oss-cn-####.aliy####.com/ly-xiaoshuo/xiaoshuo/2019-09-06/5d7220b467b34.png
- oss-cn-####.aliy####.com/ly-xiaoshuo/xiaoshuo/2019-09-09/5d7630fa2c67b.png
- oss-cn-####.aliy####.com/ly-xiaoshuo/xiaoshuo/2019-09-09/5d7631085aaa4.png
- oss-cn-####.aliy####.com/ly-xiaoshuo/xiaoshuo/2019-09-09/5d76311722db1.png
- oss-cn-####.aliy####.com/ly-xiaoshuo/xiaoshuo/2019-09-09/5d763125b14ff.png
- oss-cn-####.aliy####.com/ly-xiaoshuo/xiaoshuo/2019-09-16/5d7efe1f8203c.png
- oss-cn-####.aliy####.com/ly-xiaoshuo/xiaoshuo/2019-09-20/5d843e7e17175.png
- oss-cn-####.aliy####.com/ly-xiaoshuo/xiaoshuo/2019-10-23/5dafefdad7623.jpg
Запросы HTTP POST:
- api.b####.lie####.cn/Event/homeReport
- api.b####.lie####.cn/ReportStaticts/startUp
- api.b####.lie####.cn/event/advertisement
- api.b####.lie####.cn/event/page
- api.v2.sdk.####.cn/v2/aiList
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.updateIV.dat
- /data/data/####/001c1a0343cdab5b9dd8ee548cbf47f823855ea190b7dea....0.tmp
- /data/data/####/00O000ll111l_0.dex
- /data/data/####/00O000ll111l_1.dex
- /data/data/####/020f5e394f13b48c7aa7f667310d3da12e8e9c82f45b165....0.tmp
- /data/data/####/0OO00l111l1l
- /data/data/####/0OO00l111l1l.lock
- /data/data/####/1004
- /data/data/####/111478.jar
- /data/data/####/1571888009589_3002
- /data/data/####/1571888009732_3002
- /data/data/####/1571888010074_3002
- /data/data/####/1571888010188_3002
- /data/data/####/1571888010387_3002
- /data/data/####/1571888011039_3002
- /data/data/####/1571888011647_3002
- /data/data/####/1571888012966_3002
- /data/data/####/1571888013293_3002
- /data/data/####/1571888014223_3002
- /data/data/####/1571888014736_3002
- /data/data/####/1571888018378_3002
- /data/data/####/1571888018488_3002
- /data/data/####/1571888018643_3002
- /data/data/####/1571888019485_3002
- /data/data/####/1571888024567_3002
- /data/data/####/1571888024846_3002
- /data/data/####/1571888025273_3002
- /data/data/####/1571888060965_3002
- /data/data/####/1571888061141_3002
- /data/data/####/1571888061650_3002
- /data/data/####/1571888074788_3002
- /data/data/####/195225f8c1e57528614d6cfe27334f0a726883355631ee3....0.tmp
- /data/data/####/22c4d56706005b2071a4da49c3c8a194a872306a9245545....0.tmp
- /data/data/####/27d22f2138b2ca0272830794a3b1e6189057fd287cc1c1e....0.tmp
- /data/data/####/28d8d859c648f61f65a6447e79f53e33ebfd4d68aaf68e0....0.tmp
- /data/data/####/2fd5b4ae7bc9f6afa6af32b002962db602d4c6a00bc36f9....0.tmp
- /data/data/####/3093843cad7e9b99e757b0e9d67d921749f7766001419c1....0.tmp
- /data/data/####/401e498822d1d2b68c37e489662b86790eb891f1fbdda35....0.tmp
- /data/data/####/7aca373b4f993e765ea14d6efc7b623ad4bc14800a76b5f....0.tmp
- /data/data/####/80f4ef7746975e88cb755cc4041f10e657820b7d02331e4....0.tmp
- /data/data/####/831cb8234d03baf22b27daa62ece10018a7f68f08a0c6e9....0.tmp
- /data/data/####/992682cfcf001dab4eeefd63d9a4df2672aaf0577472143....0.tmp
- /data/data/####/9ea32dcd033d424087e012f8e2cbb840e4e6d72cc0e4327....0.tmp
- /data/data/####/Archimedes_p1
- /data/data/####/Archimedes_p2
- /data/data/####/Archimedes_p3
- /data/data/####/Archimedes_p4
- /data/data/####/Archimedes_p5
- /data/data/####/LY_AD_KEY.xml
- /data/data/####/PreferanceUtil.xml
- /data/data/####/TDCloudSettingsConfig8B95F6FFB5124FA2A9AA840736F3E611.xml
- /data/data/####/TD_app_pefercen_profile.xml
- /data/data/####/TDpref_cloudcontrol1.xml
- /data/data/####/TDpref_longtime.xml
- /data/data/####/TDpref_longtime0.xml
- /data/data/####/TDpref_shorttime.xml
- /data/data/####/TDpref_shorttime0.xml
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/__Baidu_Stat_SDK_SendRem.xml
- /data/data/####/__local_ap_info_cache.json
- /data/data/####/__local_last_session.json
- /data/data/####/__local_stat_cache.json
- /data/data/####/__send_data_1571888010322
- /data/data/####/a51d55d6ff4ba587f816d3624b5b8f45a3bec0349a73220....0.tmp
- /data/data/####/a9d143a1788932653e263a7b11f11971b9a6bd7c905fb9e....0.tmp
- /data/data/####/ac8c690c90b62f8305109fb1b85ea8c73782f666ce6e7eb....0.tmp
- /data/data/####/b25789959fdb9ff92d364e881d056caa33401a410543d8b....0.tmp
- /data/data/####/bae1e9c67aee26f14df3ade87ddb96ed0718f719cc2ae6b....0.tmp
- /data/data/####/baidu_mtj_sdk_record.xml
- /data/data/####/bugly_db_yaq
- /data/data/####/bugly_db_yaq-journal
- /data/data/####/com.aikesi.app.DEFAULT_PREF.xml
- /data/data/####/com.qiyu.wang.readbook-1.apk.classes975432114.zip
- /data/data/####/com.qiyu.wang.readbook_preference.xml
- /data/data/####/crashrecord.xml
- /data/data/####/d320662ff712169c0a2a2ee497b069af1ebf55894b2a709....0.tmp
- /data/data/####/d481cf4db7875f2fa846993c97afab4a6606ad32e443f0d....0.tmp
- /data/data/####/d6efc0a504545b8771db323c7c849bf0d3e268c3be987fb....0.tmp
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTcxODg4MDA4NjMw;
- /data/data/####/dW1weF9zaGFyZV8xNTcxODg4MDEwMjMx;
- /data/data/####/dW1weF9zaGFyZV8xNTcxODg4MDEwMzI4;
- /data/data/####/e0307f40217571c34dcfea9bcc25c58eb65c5bcffac1bc4....0.tmp
- /data/data/####/efd4f545f823c0bb3cf1087a89c747448b13a080d41732e....0.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/i==1.2.0&&1.2.2_1571888008739_envelope.log
- /data/data/####/info.xml
- /data/data/####/init_urls.xml
- /data/data/####/iv
- /data/data/####/journal.tmp
- /data/data/####/libcuid.so
- /data/data/####/libshellx-super.2019.so
- /data/data/####/local_crash_lock
- /data/data/####/multidex.version.xml
- /data/data/####/native_record_lock
- /data/data/####/novel_page.db
- /data/data/####/novel_page.db-journal
- /data/data/####/o0oooOO0ooOo.dat
- /data/data/####/salt
- /data/data/####/security_info
- /data/data/####/share.db-journal
- /data/data/####/tdid.xml
- /data/data/####/tosversion
- /data/data/####/um_pri.xml
- /data/data/####/umdat.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_common_location.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_socialize.xml
- /data/data/####/xiaoshuo.db-journal
- /data/media/####/.a.dat
- /data/media/####/.adfwe.dat
- /data/media/####/.cca.dat
- /data/media/####/.confd
- /data/media/####/.confd-journal
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/.nomedia
- /data/media/####/.timestamp
- /data/media/####/.umm.dat
- /data/media/####/9cbf377cce9beb4e2573602286191266.xml
- /data/media/####/channel-ly.txt
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /proc/cpuinfo
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- /system/bin/sh -c getprop
- getprop
- getprop ro.build.display.id
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.miui.ui.version.name
- getprop ro.product.cpu.abi
- getprop ro.smartisan.version
- getprop ro.vivo.os.version
- ls /
- ls /sys/class/thermal
Загружает динамические библиотеки:
- Bugly-yaq
- crash_analysis
- libshellx-super.2019
Использует следующие алгоритмы для шифрования данных:
- AES
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- AES-GCM-NoPadding
- Des-ECB-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-GCM-NoPadding
- Des-ECB-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
