Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Triada.308.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) gd.a.s####.com:80
- TCP(HTTP/1.1) my####.huita####.com:10091
- TCP(HTTP/1.1) p####.7####.cn.####.com:80
- TCP(HTTP/1.1) v.l####.cn:86
- TCP(HTTP/1.1) v####.7####.cn.####.com:80
- TCP(TLS/1.0) dualsta####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) instant####.google####.com:443
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.0) 1####.217.168.206:443
- TCP(TLS/1.2) 1####.217.20.106:443
Запросы DNS:
- and####.google####.com
- instant####.google####.com
- m####.go####.com
- my####.huita####.com
- p####.7####.cn
- plb####.u####.com
- pv.s####.com
- u####.u####.com
- v####.7####.cn
- v.l####.cn
Запросы HTTP GET:
- gd.a.s####.com/cityjson?ie=####
- p####.7####.cn.####.com/ad/3/1080x420.png
- p####.7####.cn.####.com/ad/3/1080x525.png
- p####.7####.cn.####.com/ad/4/1080x420.png
- v####.7####.cn.####.com/20190613/10/10.js
- v####.7####.cn.####.com/20190613/11/11.js
- v####.7####.cn.####.com/20190613/12/12.js
- v####.7####.cn.####.com/20190613/13/13/13.js
- v####.7####.cn.####.com/20190613/14/14.js
- v####.7####.cn.####.com/20190613/2/2.js
- v####.7####.cn.####.com/20190613/4/4.js
- v####.7####.cn.####.com/20190613/5/5.js
- v####.7####.cn.####.com/20190613/9/9.js
- v####.7####.cn.####.com/20190808/5/5.js
- v####.7####.cn.####.com/20190813/1/1.js
- v####.7####.cn.####.com/20190813/2/2.js
- v####.7####.cn.####.com/20190813/3/3.js
- v####.7####.cn.####.com/20190825/5/5.js
- v####.7####.cn.####.com/20190826/1/1.js
- v####.7####.cn.####.com/20190826/2/2.js
- v####.7####.cn.####.com/20190826/3/3.js
- v####.7####.cn.####.com/20190826/4/4.js
- v####.7####.cn.####.com/20190917/1/1.js
- v####.7####.cn.####.com/jiaose/22/22.js
- v####.7####.cn.####.com/luan/29/29.js
- v####.7####.cn.####.com/luan/30/30.js
- v####.7####.cn.####.com/luan/31/31.js
- v####.7####.cn.####.com/luan/32/32.js
- v####.7####.cn.####.com/nvyou/boduo/9/9.js
- v####.7####.cn.####.com/oumei/15/15.js
- v####.7####.cn.####.com/oumei/23/23.js
- v####.7####.cn.####.com/oumei/24/24.js
- v####.7####.cn.####.com/oumei/25/25.js
- v####.7####.cn.####.com/oumei/27/27.js
- v####.7####.cn.####.com/pindao/gengxin/20191020/1/1.js
- v####.7####.cn.####.com/pindao/gengxin/20191020/2/2.js
- v####.7####.cn.####.com/pindao/gengxin/20191020/3/3.js
- v####.7####.cn.####.com/pindao/gengxin/20191020/4/4.js
- v####.7####.cn.####.com/xiaonj/10/10.js
- v####.7####.cn.####.com/xiaonj/11/11.js
- v####.7####.cn.####.com/xiaonj/12/12.js
- v####.7####.cn.####.com/xiaonj/13/13.js
- v####.7####.cn.####.com/xiaonj/14/14.js
- v####.7####.cn.####.com/xiaonj/3/3.js
- v####.7####.cn.####.com/xiaonj/8/8.js
- v####.7####.cn.####.com/zptp/1/1.js
Запросы HTTP POST:
- my####.huita####.com:10091/wisdom/marking
- v.l####.cn:86/api/auth/loginByVisitor
- v.l####.cn:86/api/home/getSysParams
- v.l####.cn:86/api/home/index
- v.l####.cn:86/pay/api/getPayOpen
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/0740642b0b3de915374f0037caa75d644e5300ca216f126....0.tmp
- /data/data/####/14668bbc8367f8c6185a5d2a71842a05951e66527fa9cfe....0.tmp
- /data/data/####/232839a924e6efec623969860143be1cf432f713ce7c73e....0.tmp
- /data/data/####/23f4876870e1a88b81ad7c664a507d64460db8060c73e97....0.tmp
- /data/data/####/2c94c946ba0baa968a9229eb12d6ab3650e1b400f68b32b....0.tmp
- /data/data/####/33006345ecaca8a19b2a49f8632b8eaeffb7505d9039584....0.tmp
- /data/data/####/3d81ec017570be47a7124d3e46e3bbc35a66249ad8024ae....0.tmp
- /data/data/####/4468e18997d1bdf74a202146b375953bdf17172b0dcd5f5....0.tmp
- /data/data/####/46763bfc03a517f2a2b6ed4524c082402f0b67a0617f11c....0.tmp
- /data/data/####/4a029c04fcb83c8e7a7ae72f91ed50c481831d4a8f15019....0.tmp
- /data/data/####/5f80917d808f677bce931e151c4e03a086b5e4e063e72be....0.tmp
- /data/data/####/66f3ded1e5c36cad39b28113d5c8394adaa89eaf81bff1b....0.tmp
- /data/data/####/6d87ed86ec65a1d832a87dcb08ddf4ed45af7e4438c38e2....0.tmp
- /data/data/####/6dc16b9b30d60fa4b2758077e9712daba3a777212ab29db....0.tmp
- /data/data/####/6e7c348b5a41b0e9a68e6156d05c6e7d5ee300ec53f9601....0.tmp
- /data/data/####/7177b5957a921f0ec51f7bc5b00f19594de887f3e6fd64d....0.tmp
- /data/data/####/79ede6d4185bcd1f4085d4e60aa55c3bc6eb150d8f52d06....0.tmp
- /data/data/####/7ef502972c4738ee412e9286a09421bdf6dbc3a0df7a427....0.tmp
- /data/data/####/80c9bc33ff091592b1b62ca82cb41d63eef65f01a2cf18a....0.tmp
- /data/data/####/81383bc45fe478037fb3da7ea8e267a5bb7c2c17cc519f5....0.tmp
- /data/data/####/83a956035509edceb210cbeae215613dbddf73f0e24f5fd....0.tmp
- /data/data/####/95bb2e24824cfcefbc6a178395dc2ea2a4bc2db8370e0ea....0.tmp
- /data/data/####/99f0f88680a05f30e3f48cc57741c3ab57a276c6dcf23de....0.tmp
- /data/data/####/9b4b6cc46872bf136b7fed477be76fae13d62a6dcffb10a....0.tmp
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/a445373b13a40f70fd0106495553c89a637e7547214c7dc....0.tmp
- /data/data/####/aa14911972c9a0cea79456d65c5a68bfb1991edca150b6f....0.tmp
- /data/data/####/ac313192956f757cf12d64f676d23290005e7fd3c4700ca....0.tmp
- /data/data/####/appDb.db-journal
- /data/data/####/b3d8abac482c263b198881e7db41d5d6e0c99841fa50342....0.tmp
- /data/data/####/bae1b5fb471022870652027becb3b9ad1b407931cb23de3....0.tmp
- /data/data/####/bbdac8d02f0f62b5f8c9f00360cce962bc37d36f27405dd....0.tmp
- /data/data/####/c296ff13d7632c5190e1f33349da73608590569d97f314f....0.tmp
- /data/data/####/c2a03366b42f1da7b749d7cc325ccde7acd062d06689f5a...69d9.0
- /data/data/####/c694ef2c094cb5cad29db122cb73e71a41244f8cb015bee....0.tmp
- /data/data/####/c7c6f77852ed998656c545debcac1e492ea9411d2dadc70....0.tmp
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTczMjQ2ODA5MTIz;
- /data/data/####/dW1weF9pbnRlcm5hbF8xNTczMjQ2ODEyNzcw;
- /data/data/####/data.xml
- /data/data/####/e294d3a4ec8766363a90b65ad60a9086132f857a10a7858....0.tmp
- /data/data/####/ea1f20ddff86df72be1730c4ce3957352b02b7bb3306a5e....0.tmp
- /data/data/####/ec581012971f2a63ff85ca6d90ae4144825a8707ff7dded....0.tmp
- /data/data/####/eca2b6abe16eb577b78154ad4a3838aa86dc7f45d0a2823....0.tmp
- /data/data/####/ed6b87f90248231b865e316f2f4c80e51f2a06356aedbde....0.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f0827ad60c7fd88d0686910e4626d25994579b5076f9533....0.tmp
- /data/data/####/f4971f0491599d12882ddc06c1ec89cb2aabfc4e4712502....0.tmp
- /data/data/####/f4c2e9c113b9cf7d5bf9d6f241d3e142ece4d0f34898c74....0.tmp
- /data/data/####/f93cb5d1840317bcf3df60fc7502efa168606766750c95f....0.tmp
- /data/data/####/gameid
- /data/data/####/gameid.zip
- /data/data/####/htkr.png
- /data/data/####/i==1.2.0&&1.0.5_1573246810411_envelope.log
- /data/data/####/info.xml
- /data/data/####/journal.tmp
- /data/data/####/libmddb.so
- /data/data/####/libmddb.so-32
- /data/data/####/libmddb.so-64
- /data/data/####/moixoapm.dex (deleted)
- /data/data/####/moixoapm.dex.flock (deleted)
- /data/data/####/moixoapm.jar
- /data/data/####/proc_auxv
- /data/data/####/qrbnttad.dex
- /data/data/####/qrbnttad.dex.flock (deleted)
- /data/data/####/qrbnttad.jar
- /data/data/####/t==8.0.0&&1.0.5_1573246809420_envelope.log
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/umdat.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_common_location.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/yd_config_c.xml
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- /system/bin/dex2oat --runtime-arg -classpath --runtime-arg & --instruction-set=x86 --instruction-set-features=smp,ssse3,sse4.1,sse4.2,-avx,-avx2,-lock_add,popcnt --runtime-arg -Xrelocate --boot-image=/system/framework/boot.art --runtime-arg -Xms64m --runtime-arg -Xmx512m --instruction-set-variant=x86 --instruction-set-features=default --dex-file=/data/user/0/<Package>/.wjiaj/moixoapm.jar --oat-fd=45 --oat-location=/data/user/0/<Package>/.wjiaj/moixoapm.dex --compiler-filter=speed
- /system/bin/dex2oat --runtime-arg -classpath --runtime-arg & --instruction-set=x86 --instruction-set-features=smp,ssse3,sse4.1,sse4.2,-avx,-avx2,-lock_add,popcnt --runtime-arg -Xrelocate --boot-image=/system/framework/boot.art --runtime-arg -Xms64m --runtime-arg -Xmx512m --instruction-set-variant=x86 --instruction-set-features=default --dex-file=/data/user/0/<Package>/.wjiaj/qrbnttad.jar --oat-fd=63 --oat-location=/data/user/0/<Package>/.wjiaj/qrbnttad.dex --compiler-filter=speed
- cat /proc/version
- cat /sys/class/net/wlan0/address
- getprop
- getprop ro.board.platform
- getprop ro.product.cpu.abi
- ls /
- ls /sys/class/thermal
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- DES
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- DES
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
