Техническая информация
Вредоносные функции:
Загружает из Интернета следующие детектируемые угрозы:
- Android.SmsSpy.10334
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.b####.qq.com:8011
- TCP(HTTP/1.1) a####.b####.qq.com:8012
- TCP(HTTP/1.1) app.loveits####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) apk.downloa####.com:80
- TCP(HTTP/1.1) and####.downloa####.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) secu####.downloa####.com:80
- TCP(TLS/1.0) s0.2####.net:443
- TCP(TLS/1.0) and####.downloa####.com:443
- TCP(TLS/1.0) lh3.googleu####.com:443
- TCP(TLS/1.0) m####.downloa####.com:443
- TCP(TLS/1.0) googl####.g.doublec####.net:443
- TCP(TLS/1.0) col####.aio-dow####.com:443
- TCP(TLS/1.0) lh6.g####.com:443
- TCP(TLS/1.0) pag####.googles####.com:443
- TCP(TLS/1.0) lh5.g####.com:443
- TCP(TLS/1.0) lh4.g####.com:443
- TCP(TLS/1.0) www.you####.com:443
- TCP(TLS/1.0) gost####.is:443
- TCP(TLS/1.0) lh4.googleu####.com:443
Запросы DNS:
- a####.b####.qq.com
- a####.u####.com
- aexcep####.b####.qq.com
- and####.b####.qq.com
- and####.downloa####.com
- apk.downloa####.com
- app.aio-dow####.com
- app.loveits####.com
- col####.aio-dow####.com
- googl####.g.doublec####.net
- gost####.is
- i.downloa####.com
- lh3.googleu####.com
- lh4.g####.com
- lh4.googleu####.com
- lh5.g####.com
- lh6.g####.com
- lh6.googleu####.com
- m####.downloa####.com
- pag####.googles####.com
- s0.2####.net
- secu####.downloa####.com
- tpc.googles####.com
- www.you####.com
Запросы HTTP GET:
- and####.downloa####.com/_201409/market/app_detail_more.php?url_id=####
- and####.downloa####.com/_201409/market/app_list_more.php?keyword=####
- and####.downloa####.com/api/list.php?tab=####&keyword=####&page=####
- apk.downloa####.com/package/com.allinone.free.apk
- app.loveits####.com/_manage/proc/get_android_info.php?id=####
- app.loveits####.com/gonglue_xilie/ping.php?id=####&version=####
Запросы HTTP POST:
- a####.b####.qq.com:8011/rqd/async
- a####.b####.qq.com:8012/rqd/async
- a####.u####.com/app_logs
- and####.b####.qq.com/rqd/async
- and####.downloa####.com/_201409/market/app_version_check.php
- and####.downloa####.com/api/get_apk_download_5_0_0.php
- secu####.downloa####.com/aio_check_apkinfo/security_center/security_init...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-131664999811440355
- /data/data/####/-515249652-975763097
- /data/data/####/-7151024995403482
- /data/data/####/.imprint
- /data/data/####/08f58d5b8e91c88ff2df7ea316b0dcbb6c64afdf0e42ae0....0.tmp
- /data/data/####/109afcc5941b656b2037ab4b41b48cf51b8ee60d770c523....0.tmp
- /data/data/####/1460683162801.jar
- /data/data/####/1460683162801.tmp
- /data/data/####/1604704517-1584909799
- /data/data/####/28b8948886e7e9c6b5db4a4cf73bbbb5e47e201c85cf865....0.tmp
- /data/data/####/397cc9fae2cd29ae5d4effcdce4677d633ffc0244dbefa7....0.tmp
- /data/data/####/4b4bd014384069e6b1b3722667bc1a8c11216dcda97a166....0.tmp
- /data/data/####/5194c188d0a76cbfdb78cf32c869cae3938b2f4daa67784....0.tmp
- /data/data/####/6f107e884dac923077febbf450998419166507b614f556e....0.tmp
- /data/data/####/815846480-520611785
- /data/data/####/8767681473e61c9c983bb95ba70708ecb801c4316c8eb9a....0.tmp
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/addplaylist.xml
- /data/data/####/aio_size.xml
- /data/data/####/autoUpdateTime.xml
- /data/data/####/b6aa4e051a2f5d1f6bf843666371e1ad144b3f2b951b6e0....0.tmp
- /data/data/####/ba698bfbaae1af6efd88951d503c2ba1b1a6694f96bab99....0.tmp
- /data/data/####/backup-journal
- /data/data/####/bugly_db_legu-journal
- /data/data/####/c1fc452cd5c48cbea874f79303d13fa03228ab8d29b1a1f....0.tmp
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/createmlist.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/download2.db (deleted)
- /data/data/####/download2.db-journal
- /data/data/####/downloading.db
- /data/data/####/downloading.db-journal
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/exitdialog.xml
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/fbggtime.xml
- /data/data/####/fdaea8aea7c0e84bbd9adbef28387fdd022eca288b0bd1c....0.tmp
- /data/data/####/fdea1a5cf25d56213042a619228dcf0ba18f1b2c259f1b8....0.tmp
- /data/data/####/file_list-journal
- /data/data/####/firstapp.xml
- /data/data/####/gallery_pop.xml
- /data/data/####/getsla.xml
- /data/data/####/goapptime.xml
- /data/data/####/homelauncher.xml
- /data/data/####/https_googleads.g.doubleclick.net_0.localstorage-journal
- /data/data/####/index
- /data/data/####/journal.tmp
- /data/data/####/lanager.xml
- /data/data/####/libnfix.so
- /data/data/####/libshella-2.10.6.0.so
- /data/data/####/libufix.so
- /data/data/####/local_crash_lock
- /data/data/####/localfavor.db
- /data/data/####/localfavor.db-journal
- /data/data/####/midtime.xml
- /data/data/####/midtimecollectbig.xml
- /data/data/####/mix.dex
- /data/data/####/multidex.version.xml
- /data/data/####/native_record_lock
- /data/data/####/nolistapp.db
- /data/data/####/nolistapp.db-journal
- /data/data/####/noti
- /data/data/####/noti-journal
- /data/data/####/playlist.db
- /data/data/####/playlist.db-journal
- /data/data/####/playlist.db-shm
- /data/data/####/playlist.db-shm (deleted)
- /data/data/####/playlist.db-wal
- /data/data/####/scmusic.xml
- /data/data/####/security_info
- /data/data/####/sim.xml
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/uninstall-journal
- /data/data/####/uninstallapp.db
- /data/data/####/uninstallapp.db-journal
- /data/data/####/uploadcount.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/aioupdate.apk
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- <Package Folder>/app_bin/daemon -p <Package> -s <Package>.service.DaemonService -t 60
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-2.10.6.0.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
Загружает динамические библиотеки:
- Bugly
- hello-jni
- libnfix
- libshella-2.10.6.0
- libufix
- nfix
- ufix
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
