Техническая информация
Вредоносные функции:
Загружает из Интернета следующие детектируемые угрозы:
- Android.SmsSpy.10334
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.b####.qq.com:8012
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) app.loveits####.com:80
- TCP(HTTP/1.1) apk.downloa####.com:80
- TCP(HTTP/1.1) and####.downloa####.com:80
- TCP(HTTP/1.1) secu####.downloa####.com:80
- TCP(HTTP/1.1) gost####.is:80
- TCP(HTTP/1.1) a####.b####.qq.com:8011
- TCP(TLS/1.0) 1####.28.19.148:443
- TCP(TLS/1.0) lh5.g####.com:443
- TCP(TLS/1.0) and####.downloa####.com:443
- TCP(TLS/1.0) lh3.g####.com:443
- TCP(TLS/1.0) lh3.googleu####.com:443
- TCP(TLS/1.0) m####.downloa####.com:443
- TCP(TLS/1.0) lh4.g####.com:443
- TCP(TLS/1.0) www.you####.com:443
- TCP(TLS/1.0) gost####.is:443
- TCP(TLS/1.0) googl####.g.doublec####.net:443
Запросы DNS:
- a####.b####.qq.com
- a####.u####.com
- aexcep####.b####.qq.com
- and####.downloa####.com
- apk.downloa####.com
- app.loveits####.com
- googl####.g.doublec####.net
- gost####.is
- i.downloa####.com
- img.and####.downloa####.com
- lh3.g####.com
- lh3.googleu####.com
- lh4.g####.com
- lh5.g####.com
- m####.downloa####.com
- s.downloa####.com
- secu####.downloa####.com
- www.you####.com
Запросы HTTP GET:
- and####.downloa####.com/_201409/market/app_detail_more.php?url_id=####
- and####.downloa####.com/_201409/market/app_list_more.php?keyword=####
- and####.downloa####.com/_201409/market/app_list_more_test.php?tab=####
- and####.downloa####.com/api/list.php?tab=####&keyword=####&page=####
- and####.downloa####.com/upload/android/other/201504/03/all-in-one-downlo...
- apk.downloa####.com/package/com.allinone.free.apk
- app.loveits####.com/_manage/proc/get_android_info.php?id=####
- app.loveits####.com/gonglue_xilie/ping.php?id=####&version=####
- gost####.is/film/the-jetsons-wwe-robo-wrestlemania-19679/watching.html
Запросы HTTP POST:
- a####.b####.qq.com:8011/rqd/async
- a####.b####.qq.com:8012/rqd/async
- a####.u####.com/app_logs
- and####.downloa####.com/_201409/market/app_version_check.php
- and####.downloa####.com/api/get_apk_download_5_0_0.php
- secu####.downloa####.com/aio_check_apkinfo/security_center/security_init...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.old_file_converted
- /data/data/####/09a88c518f8024828436ee96ab1d50a5739714118423ae2....0.tmp
- /data/data/####/0c1233a7efeb0eb96b92ad11c60a8c012a2050b7449c518....0.tmp
- /data/data/####/1460683162801.jar
- /data/data/####/1460683162801.tmp
- /data/data/####/2225ab86d8bdfb7e3a0933fb7fb3e7ded1d6ccbe656e1db....0.tmp
- /data/data/####/23f8ba5630493875a94537fc49b9d4b52aba65f789ede9c....0.tmp
- /data/data/####/2530ba63f008c431ff0c862535633e3ebdc1dfe36eaebfb....0.tmp
- /data/data/####/317b285abc6e2422567d29b48c395b5e87751fd1b23f772....0.tmp
- /data/data/####/351ada5b2cc0e69a1400798c4cab0c49d75835145783ca1....0.tmp
- /data/data/####/3a8f64efc2320baa8535e1790162a82929c10c21e540bf7....0.tmp
- /data/data/####/3e8985346f22c99fd0a01e9720064048cfacf89f6b2038a....0.tmp
- /data/data/####/44f107d0694c21eddf7ff3b9fef3a249a10d35390b23d72....0.tmp
- /data/data/####/4b977d055f34dcd3d019b11699b155c79595f929f633248....0.tmp
- /data/data/####/4c654e0a3a28e4e9c1452b4b4e16a8f054f4b9215a8ce95....0.tmp
- /data/data/####/4eebca35f9015e772b97613b33f9da1f3a8cd82557932a9....0.tmp
- /data/data/####/5168f07df245315106b88c5b1e27925857cde2ca4118272....0.tmp
- /data/data/####/54e922a0363ca006976a6b5d9e71c29b9991bee4f160d8e....0.tmp
- /data/data/####/6443c4cb1982af282ef3ef4cd5bd3483463a35364b6da15....0.tmp
- /data/data/####/671a79b10b850924f501073da8425c9bc68367a6b3f2bab....0.tmp
- /data/data/####/6b7103b973be1c3f219c9c63d550b4849e06f736bcd8a44....0.tmp
- /data/data/####/7868c1d4135d6bf7307f264f2a81c4136c21418e08ae0d8....0.tmp
- /data/data/####/7ce929970324caf0451b09ea8b4be3da188b71a830aeed9....0.tmp
- /data/data/####/8d4a71dc2911401ab0d6c1e640fdd40c459062693e63cda....0.tmp
- /data/data/####/9b99e06404f964fcfc2cba6bd6cf688d42d1245b005dfad....0.tmp
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/addplaylist.xml
- /data/data/####/aio_size.xml
- /data/data/####/autoUpdateTime.xml
- /data/data/####/bac41e7b55343ae06c8d06c9d5b7a5b71f424b2d7446818....0.tmp
- /data/data/####/backup
- /data/data/####/backup-journal
- /data/data/####/bbe965e8bc206d0e196c33f87d9eff5369420ded1bfcf1c....0.tmp
- /data/data/####/bugly_db_legu-journal
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/createmlist.xml
- /data/data/####/d5c7a45f89b11bef0c8748c55c3a0bffece9fa83b0622a3....0.tmp
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/de02009821a336bbad5085872ac16b6ceb427159a4884de....0.tmp
- /data/data/####/download2.db (deleted)
- /data/data/####/download2.db-journal
- /data/data/####/downloading.db
- /data/data/####/downloading.db-journal
- /data/data/####/downloading.db-shm
- /data/data/####/downloading.db-wal
- /data/data/####/e0585961fc4cb5029121b282f2c9aa42388cc6dc4d30ab8....0.tmp
- /data/data/####/e8516e9b8a710a1347308819928868fa8422d26c9c62061....0.tmp
- /data/data/####/e8ae4b3ebf4c195f9ee615f10a5c16513b4ee1e5d0c3c24....0.tmp
- /data/data/####/eee37b9b93da48a4131d8c1f7c14a474eb42d4824850493....0.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/exitdialog.xml
- /data/data/####/f333b891ef7e4c41a3f8d4e1e55dca04bcbf56b856eeb77....0.tmp
- /data/data/####/f369c1ddff386c80d2d4dd0204690dc2c993b87d693792a....0.tmp
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/file_list
- /data/data/####/file_list-journal
- /data/data/####/filedownloader.db-journal
- /data/data/####/firstapp.xml
- /data/data/####/gallery_pop.xml
- /data/data/####/getsla.xml
- /data/data/####/goapptime.xml
- /data/data/####/homelauncher.xml
- /data/data/####/https_googleads.g.doubleclick.net_0.localstorage-journal
- /data/data/####/index
- /data/data/####/journal.tmp
- /data/data/####/lanager.xml
- /data/data/####/libnfix.so
- /data/data/####/libshella-2.10.7.1.so
- /data/data/####/libufix.so
- /data/data/####/local_crash_lock
- /data/data/####/localfavor.db
- /data/data/####/localfavor.db-journal
- /data/data/####/midtime.xml
- /data/data/####/midtimecollectbig.xml
- /data/data/####/mix.dex
- /data/data/####/multidex.version.xml
- /data/data/####/native_record_lock
- /data/data/####/nolistapp.db
- /data/data/####/nolistapp.db-journal
- /data/data/####/noti-journal
- /data/data/####/playlist.db
- /data/data/####/playlist.db-journal
- /data/data/####/playlist.db-shm
- /data/data/####/playlist.db-shm (deleted)
- /data/data/####/playlist.db-wal
- /data/data/####/scmusic.xml
- /data/data/####/security_info
- /data/data/####/sim.xml
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/uninstall
- /data/data/####/uninstall-journal
- /data/data/####/uninstallapp.db
- /data/data/####/uninstallapp.db-journal
- /data/data/####/uninstallapp.db-journal (deleted)
- /data/data/####/uploadcount.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/aioupdate.apk
- /data/media/####/com.allinone.downloader.apk.temp
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- <Package Folder>/app_bin/daemon -p <Package> -s <Package>.service.DaemonService -t 60
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-2.10.7.1.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
Загружает динамические библиотеки:
- Bugly
- hello-jni
- libnfix
- libshella-2.10.7.1
- libufix
- nfix
- ufix
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
