Техническая информация
Вредоносные функции:
Загружает из Интернета следующие детектируемые угрозы:
- Android.SmsSpy.10334
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) gost####.is:80
- TCP(HTTP/1.1) analy####.ray####.com:80
- TCP(HTTP/1.1) fk-old-####.ray####.com:80
- TCP(HTTP/1.1) app.loveits####.com:80
- TCP(HTTP/1.1) apk.downloa####.com:80
- TCP(HTTP/1.1) net.ray####.com:80
- TCP(HTTP/1.1) secu####.downloa####.com:80
- TCP(HTTP/1.1) and####.downloa####.com:80
- TCP(HTTP/1.1) 2####.119.128.92:80
- TCP(HTTP/1.1) top####.downloa####.com:80
- TCP(TLS/1.0) col####.aio-dow####.com:443
- TCP(TLS/1.0) lh6.g####.com:443
- TCP(TLS/1.0) lh3.googleu####.com:443
- TCP(TLS/1.0) m####.downloa####.com:443
- TCP(TLS/1.0) www.you####.com:443
- TCP(TLS/1.0) 1####.217.20.110:443
- TCP(TLS/1.0) gost####.is:443
- TCP(TLS/1.0) googl####.g.doublec####.net:443
Запросы DNS:
- a####.u####.com
- analy####.ray####.com
- and####.downloa####.com
- apk.downloa####.com
- app.aio-dow####.com
- app.loveits####.com
- col####.aio-dow####.com
- googl####.g.doublec####.net
- gost####.is
- lh3.googleu####.com
- lh6.g####.com
- m####.downloa####.com
- mt####.go####.com
- net.ray####.com
- secu####.downloa####.com
- set####.ray####.com
- top####.downloa####.com
- www.you####.com
Запросы HTTP GET:
- and####.downloa####.com/_201409/market/app_detail_more.php?url_id=####
- and####.downloa####.com/_201409/market/app_list_more.php?keyword=####
- and####.downloa####.com/api/list.php?tab=####&keyword=####&page=####
- apk.downloa####.com/package/com.allinone.free.apk
- app.loveits####.com/_manage/proc/get_android_info.php?id=####
- app.loveits####.com/gonglue_xilie/ping.php?id=####&version=####
- app.loveits####.com/gonglue_xilie/ping.php?id=####&version=####&is_andro...
- fk-old-####.ray####.com/appwall/setting?app_id=####&sign=####&channel=##...
- fk-old-####.ray####.com/setting?app_id=####&sign=####&jm_a=####&jm_n=###...
- gost####.is/film/some-like-it-hot--19707/watching.html
- net.ray####.com/image?app_id=####&unit_id=####&sign=####&channel=####&pl...
- net.ray####.com/openapi/ad/v3?app_id=####&unit_id=####&category=####&req...
Запросы HTTP POST:
- analy####.ray####.com/
- and####.downloa####.com/_201409/market/app_version_check.php
- and####.downloa####.com/api/get_apk_download_5_0_0.php
- and####.downloa####.com/api/index_5_0_0.php
- secu####.downloa####.com/aio_check_apkinfo/security_center/security_init...
- top####.downloa####.com/atoz_statistics_info/market/stat_fail_apk_url.php
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/03a1881677e2ecbc1b0fd6fbfaa0d992a7be57ed888f984....0.tmp
- /data/data/####/04f1e5407fad41b4e94b2757e49be0954e791c9d05db35e....0.tmp
- /data/data/####/0c618f3ba0f5ef341dfeef53a26c7ede7415b0221c66ba7....0.tmp
- /data/data/####/1542658731108.jar
- /data/data/####/1542658731108.tmp
- /data/data/####/3d0b4b22b4e56e35ab995537ba358696ccdd2beeaeb8b45....0.tmp
- /data/data/####/3e250e23c28859ab365d3c112a725f9254cf2b9a483bd45....0.tmp
- /data/data/####/56f5e762d0787a08dc94e42f8bf3642bb7fece28b877ec0....0.tmp
- /data/data/####/861dcae34ab8b90c8175897bbf11cea8d2f95fef41e852f....0.tmp
- /data/data/####/8814cc6c27600e05a8f62879a304136ed34ae058f79d51c....0.tmp
- /data/data/####/8e1c6de9c4cbd1f091354d199ea355994ba88537c8dd006....0.tmp
- /data/data/####/935b92edf30f0e5dba0392b1773941fe1f47745d43b3665....0.tmp
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/addplaylist.xml
- /data/data/####/admob.xml
- /data/data/####/aio_size.xml
- /data/data/####/autoUpdateTime.xml
- /data/data/####/b7cf01ff7e53356b8f6ea11be42ccf8a6c829a9d886fbca....0.tmp
- /data/data/####/backup
- /data/data/####/backup-journal
- /data/data/####/c41888e53a0091dbbbd187f1cf7076e62634f6e2948e711....0.tmp
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cfe433da9cc67c3514164e02a4b878de2593c556d5e090e....0.tmp
- /data/data/####/com.aio.downloader-1.apk.classes1445432475.zip
- /data/data/####/com.aio.downloader-1.apk.classes2.dex
- /data/data/####/country.xml
- /data/data/####/createmlist.xml
- /data/data/####/dacd7540de05609b36671fed1b2b5c8d4759f9a37f6dd23....0.tmp
- /data/data/####/daemon
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/download2.db (deleted)
- /data/data/####/download2.db-journal
- /data/data/####/downloading.db
- /data/data/####/downloading.db-journal
- /data/data/####/e83fd8a652a3cfe9d5a65323ffe6b280173ae16cb09d8fe....0.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/file_list-journal
- /data/data/####/firstapp.xml
- /data/data/####/gallery_pop.xml
- /data/data/####/getsla.xml
- /data/data/####/goapptime.xml
- /data/data/####/hasjinpin.xml
- /data/data/####/homelauncher.xml
- /data/data/####/https_googleads.g.doubleclick.net_0.localstorage-journal
- /data/data/####/index
- /data/data/####/journal.tmp
- /data/data/####/lanager.xml
- /data/data/####/lastcollecttime.xml
- /data/data/####/localfavor.db
- /data/data/####/localfavor.db-journal
- /data/data/####/midtime.xml
- /data/data/####/midtimecollectbig.xml
- /data/data/####/mintegral.msdk.db
- /data/data/####/mintegral.msdk.db-journal
- /data/data/####/mintegral.xml
- /data/data/####/multidex.version.xml
- /data/data/####/nolistapp.db
- /data/data/####/nolistapp.db-journal
- /data/data/####/noti-journal
- /data/data/####/ntapp.xml
- /data/data/####/playlist.db
- /data/data/####/playlist.db-journal
- /data/data/####/playlist.db-shm
- /data/data/####/playlist.db-shm (deleted)
- /data/data/####/playlist.db-wal
- /data/data/####/scmusic.xml
- /data/data/####/share_date.xml
- /data/data/####/sharekey.xml
- /data/data/####/sim.xml
- /data/data/####/sntappt.xml
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/uninstall-journal
- /data/data/####/uninstallapp.db
- /data/data/####/uninstallapp.db-journal
- /data/data/####/uninstallapp.db-shm (deleted)
- /data/data/####/uninstallapp.db-wal
- /data/data/####/uploadcount.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromium.db-journal (deleted)
- /data/media/####/aioupdate.apk
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/app_bin/daemon -p <Package> -s <Package>.service.DaemonService -t 60
- chmod 0755 <Package Folder>/app_bin/daemon
- ps
- sh /system/bin/am startservice --user 0 -n <Package>/<Package>.service.DaemonService
Загружает динамические библиотеки:
- hello-jni
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Получает информацию о входящих/исходящих звонках.
Получает информацию о телефонных контактах.
Проверяет наличие популярных антивирусных приложений.
