Техническая информация
Вредоносные функции:
Загружает из Интернета следующие детектируемые угрозы:
- Android.SmsSpy.10334
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) analy####.ray####.com:80
- TCP(HTTP/1.1) app.loveits####.com:80
- TCP(HTTP/1.1) apk.downloa####.com:80
- TCP(HTTP/1.1) www.you####.com:80
- TCP(HTTP/1.1) secu####.downloa####.com:80
- TCP(HTTP/1.1) and####.downloa####.com:80
- TCP(HTTP/1.1) gost####.is:80
- TCP(HTTP/1.1) fk-old-####.ray####.com:80
- TCP(TLS/1.0) col####.aio-dow####.com:443
- TCP(TLS/1.0) and####.downloa####.com:443
- TCP(TLS/1.0) lh3.googleu####.com:443
- TCP(TLS/1.0) i.y####.com:443
- TCP(TLS/1.0) lh4.g####.com:443
- TCP(TLS/1.0) www.you####.com:443
- TCP(TLS/1.0) gost####.is:443
Запросы DNS:
- a####.u####.com
- analy####.ray####.com
- and####.downloa####.com
- api.mo####.sdk.####.col
- apk.downloa####.com
- app.aio-dow####.com
- app.loveits####.com
- col####.aio-dow####.com
- googl####.g.doublec####.nes
- gost####.is
- i.downloa####.com
- i.y####.com
- img.and####.downloa####.com
- lh3.googleu####.com
- lh4.g####.com
- m####.downloa####.com
- mb####.s####.du####.col
- net.ray####.col
- rts.s####.du####.col
- secu####.downloa####.com
- set####.ray####.com
- www.you####.com
Запросы HTTP GET:
- and####.downloa####.com/upload/android/other/201504/03/all-in-one-downlo...
- apk.downloa####.com/package/com.allinone.free.apk
- app.loveits####.com/_manage/proc/get_android_info.php?id=####
- app.loveits####.com/gonglue_xilie/ping.php?id=####&version=####
- fk-old-####.ray####.com/appwall/setting?app_id=####&sign=####&channel=##...
- fk-old-####.ray####.com/setting?app_id=####&sign=####&jm_a=####&jm_n=###...
- gost####.is/film/elle-19692/watching.html
- www.you####.com/get_video_info?video_id=####&asv=####&el=####&hl=####&st...
Запросы HTTP POST:
- a####.u####.com/app_logs
- analy####.ray####.com/
- and####.downloa####.com/_201409/market/app_version_check.php
- and####.downloa####.com/api/index_5_0_0.php
- secu####.downloa####.com/aio_check_apkinfo/security_center/security_init...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.old_file_converted
- /data/data/####/04ac48b6e59f9f40d4bad3c4d03675a43d2391f7fd214ea....0.tmp
- /data/data/####/0e7353e2243717b58d4e2ba58e6dee0045ea70bf19c085e....0.tmp
- /data/data/####/1119e4d99b24af37305d93e9d1dfb7955acd6afaaefe2e1....0.tmp
- /data/data/####/1521499837408.dex
- /data/data/####/1521499837408.jar
- /data/data/####/1521499837408.tmp
- /data/data/####/1708ecadbc9b68fb881254f6f043a9cfdba6d8180ea2cda....0.tmp
- /data/data/####/249666738f5e29f4c969a0b0f918590213539a95053b63c....0.tmp
- /data/data/####/249666738f5e29f4c969a0b0f918590213539a95053b63c...4d5e.0
- /data/data/####/27f7d0ab7c4d322d4d3bf091ca4b045f517bc2fab515046....0.tmp
- /data/data/####/2859aaa69a25b8f309db0f0acf0e603f363f1af0eb99b49....0.tmp
- /data/data/####/28cb3b2bba86749f344f689804e8a77909c5fa4f9473515....0.tmp
- /data/data/####/2e19c4acc03a0ce7463a92b5a95b0039fab2fd90016e8a2....0.tmp
- /data/data/####/33cba327350bd250eb4bc6a49cb8ae8a601840f5da0ac40....0.tmp
- /data/data/####/366f4c2d89e583266718591138bf89872c298ccc9bb6cb1....0.tmp
- /data/data/####/4ad6df26911b4c8099f0fd2671bbbd80f1d8326d2a69fa5....0.tmp
- /data/data/####/606f56f339f1f5e702a722463af6c87b1da8435c481805a....0.tmp
- /data/data/####/60d880fd4451e83e34118c2446cfff3bb2fed4dc0f050cf....0.tmp
- /data/data/####/6f3c04e692a02b624f197dcc3ca04b03375f354c082c641....0.tmp
- /data/data/####/728ff4d12299643ce0b2c202470197e12923a2308bb91cd...f372.0
- /data/data/####/7868c1d4135d6bf7307f264f2a81c4136c21418e08ae0d8....0.tmp
- /data/data/####/796a1d69bfb225e596ca9622871de89fe8c99e078096d78....0.tmp
- /data/data/####/7a2076490aa6e22ae1de6de8f979ad66fb43c8ea215022f....0.tmp
- /data/data/####/825f55607fbbf308758847bed0ec2824a13a74b5f8e49c9....0.tmp
- /data/data/####/8854440ab06804b2f23871ac4195a8b75e7b5ccd0796f58....0.tmp
- /data/data/####/8ba9e84901f338acbb84552c6c951bed46a6f418555bfb5....0.tmp
- /data/data/####/8f2ad024659fdcef2acb2d436baf6ede97787379315cf0d....0.tmp
- /data/data/####/8f7b4de36f342f52b7ed18437944c9c3a322b51cf7d713e....0.tmp
- /data/data/####/93cda9367f63e18c3694d72ed8d8845862e8ff0eb601130....0.tmp
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/_toolbox_prefs.xml
- /data/data/####/ab54a10194ca5e51f9bd4a39ed0de4f234819030d61f4be....0.tmp
- /data/data/####/addplaylist.xml
- /data/data/####/admob.xml
- /data/data/####/af55d33c0c210edec5adea98a5127a717108e747df18815....0.tmp
- /data/data/####/aio_size.xml
- /data/data/####/autoUpdateTime.xml
- /data/data/####/b1d87a0e9894855372663342b8d3ebfd86bd882ef7d8db0....0.tmp
- /data/data/####/b553908e43dd45123ae9a916f540576e49f45277592036c....0.tmp
- /data/data/####/b84e2a12582edc3b07bec4537bc8f23cbace02bc6de9136....0.tmp
- /data/data/####/backup-journal
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/com.aio.downloader-1.apk.classes-2077085226.zip
- /data/data/####/com.aio.downloader-1.apk.classes2.dex
- /data/data/####/createmlist.xml
- /data/data/####/daemon
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/dc79edc32addfcfbc793d57989b3209f46398a5cd6a6c0e....0.tmp
- /data/data/####/download2.db
- /data/data/####/download2.db (deleted)
- /data/data/####/download2.db-journal
- /data/data/####/downloading.db
- /data/data/####/downloading.db-journal
- /data/data/####/du_ad_ts.db-journal
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f5de6ae301218dfa3b43268c632659ccbb612ce2c85bc03....0.tmp
- /data/data/####/fb48cd9153636f75e48b6b8464280647ae340f30a7d965d....0.tmp
- /data/data/####/file_list
- /data/data/####/file_list-journal
- /data/data/####/filedownloader.db-journal
- /data/data/####/firstapp.xml
- /data/data/####/gallery_pop.xml
- /data/data/####/getsla.xml
- /data/data/####/goapptime.xml
- /data/data/####/homelauncher.xml
- /data/data/####/index
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/lanager.xml
- /data/data/####/lastcollecttime.xml
- /data/data/####/localfavor.db
- /data/data/####/localfavor.db-journal
- /data/data/####/midtime.xml
- /data/data/####/midtimecollectbig.xml
- /data/data/####/mintegral.msdk.db
- /data/data/####/mintegral.msdk.db-journal
- /data/data/####/mintegral.xml
- /data/data/####/multidex.version.xml
- /data/data/####/nolistapp.db
- /data/data/####/nolistapp.db-journal
- /data/data/####/nolistapp.db-shm (deleted)
- /data/data/####/nolistapp.db-wal
- /data/data/####/noti-journal
- /data/data/####/playlist.db
- /data/data/####/playlist.db-journal
- /data/data/####/playlist.db-shm
- /data/data/####/playlist.db-shm (deleted)
- /data/data/####/playlist.db-wal
- /data/data/####/scmusic.xml
- /data/data/####/share_date.xml
- /data/data/####/share_date.xml (deleted)
- /data/data/####/sim.xml
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_general_config.xml (deleted)
- /data/data/####/umeng_it.cache
- /data/data/####/uninstall-journal
- /data/data/####/uninstallapp.db
- /data/data/####/uninstallapp.db-journal
- /data/data/####/uninstallapp.db-shm (deleted)
- /data/data/####/uninstallapp.db-wal
- /data/data/####/uploadcount.xml
- /data/data/####/video_pref_def.xml
- /data/data/####/video_pref_def.xml (deleted)
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/.nomedia
- /data/media/####/aioupdate.apk
- /data/media/####/com.allinone.downloader.apk.temp
- /data/media/####/journal
- /data/media/####/journal.tmp
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/app_bin/daemon -p <Package> -s <Package>.service.DaemonService -t 60
- chmod 0755 <Package Folder>/app_bin/daemon
- ps
- sh /system/bin/am startservice --user 0 -n <Package>/<Package>.service.DaemonService
Загружает динамические библиотеки:
- hello-jni
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Получает информацию о входящих/исходящих звонках.
Получает информацию о телефонных контактах.
