Android.RemoteCode.6669

Добавлен в вирусную базу Dr.Web: 2020-03-13

Описание добавлено: 2020-03-13

Техническая информация

Вредоносные функции:

Выполняет код следующих детектируемых угроз:

Android.RemoteCode.86.origin

Сетевая активность:

Подключается к:

UDP(DNS) 8####.8.4.4:53
TCP(HTTP/1.1) l####.tbs.qq.com:80
TCP(HTTP/1.1) and####.b####.qq.com:80
TCP(HTTP/1.1) amdc####.m.ta####.com:80
TCP(HTTP/1.1) sh.wagbr####.aliyun####.com:80
TCP(TLS/1.0) and####.google####.com:443
TCP(TLS/1.0) googl####.g.doublec####.net:443
TCP(TLS/1.0) connect####.gst####.com:443
TCP(TLS/1.0) and####.cli####.go####.com:443
TCP(TLS/1.0) dualsta####.wagbr####.ali####.####.com:443
TCP(TLS/1.0) safebro####.google####.com:443
TCP(TLS/1.0) 1####.217.17.106:443
TCP(TLS/1.0) 2####.107.1.97:443
TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
TCP(TLS/1.0) app.hryu####.com:443
TCP(TLS/1.0) android####.go####.com:443
TCP(TLS/1.0) 1####.217.17.78:443
TCP(TLS/1.0) 1####.217.19.202:443
TCP(TLS/1.0) playato####.google####.com:443
TCP(TLS/1.0) voledev####.google####.com:443
TCP(TLS/1.2) 1####.217.17.106:443
TCP(TLS/1.2) 1####.217.17.74:443
TCP(TLS/1.2) and####.google####.com:443
TCP(TLS/1.2) 1####.217.168.234:443
TCP(TLS/1.2) 1####.217.17.78:443
TCP(TLS/1.2) voledev####.google####.com:443
TCP(TLS/1.2) 1####.217.20.67:443
TCP zb-cent####.m.ta####.com:80
TCP zb-cent####.m.ta####.com:443

Запросы DNS:

a####.man.aliy####.com
amdc####.m.ta####.com
and####.b####.qq.com
and####.cli####.go####.com
and####.google####.com
android####.go####.com
app.hryu####.com
connect####.gst####.com
footpri####.google####.com
googl####.g.doublec####.net
l####.tbs.qq.com
log.u####.com
p####.google####.com
playato####.google####.com
plb####.u####.com
safebro####.google####.com
u####.u####.com
umen####.m.ta####.com
umengj####.m.ta####.com
voledev####.google####.com

Запросы HTTP POST:

amdc####.m.ta####.com/amdc/mobileDispatch?appkey=####&deviceId=####&plat...
and####.b####.qq.com/rqd/async?aid=####
l####.tbs.qq.com/ajax?c=####&k=####
sh.wagbr####.aliyun####.com/man/api?ak=####&s=####

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/.imprint
/data/data/####/.jg.ic
/data/data/####/1004
/data/data/####/1c3e828865d140c88703c633ef508e26
/data/data/####/ACCS_BINDumeng;5d75bb20570df32c4a0006c1.xml
/data/data/####/ACCS_SDK.xml
/data/data/####/ACCS_SDK_CHANNEL.xml
/data/data/####/ACCS_SDK_CHANNEL.xml.bak
/data/data/####/AGOO_BIND.xml
/data/data/####/Agoo_AppStore.xml
/data/data/####/Alvin2.xml
/data/data/####/ContextData.xml
/data/data/####/MessageStore.db-journal
/data/data/####/MsgLogStore.db-journal
/data/data/####/UM_PROBE_DATA.xml
/data/data/####/accs.db-journal
/data/data/####/agoo.pid
/data/data/####/bugly_db_-journal
/data/data/####/c93de46d34e446809e5ff5a4ea8ab3f6
/data/data/####/channel_umeng_common_config.xml
/data/data/####/classes.dex
/data/data/####/classes.dex;classes2.dex
/data/data/####/core_info
/data/data/####/crashrecord.xml
/data/data/####/dW1weF9pbnRlcm5hbF8xNTg0MDQ5NzE3NDU3;
/data/data/####/dW1weF9pbnRlcm5hbF8xNTg0MDQ5NzEwMTcw;
/data/data/####/dW1weF9wdXNoX2xhdW5jaF8xNTg0MDQ5NzI2MzYz;
/data/data/####/dW1weF9wdXNoX3JlZ2lzdGVyXzE1ODQwNDk3MTc0NTI=;
/data/data/####/exchangeIdentity.json
/data/data/####/exid.dat
/data/data/####/httpdns_config_cache.xml
/data/data/####/httpdns_config_cache.xml.bak
/data/data/####/i==1.2.0&&1.0.6_1584049710189_envelope.log
/data/data/####/i==1.2.0&&1.0.6_1584049717446_envelope.log
/data/data/####/info.xml
/data/data/####/libjiagu.so
/data/data/####/local_crash_lock
/data/data/####/local_crash_lock (deleted)
/data/data/####/message_accs_db
/data/data/####/message_accs_db-journal
/data/data/####/native_record_lock
/data/data/####/proc_auxv
/data/data/####/security_info
/data/data/####/share.db-journal
/data/data/####/sp_sophix.xml
/data/data/####/t==8.0.2&&1.0.6_1584049711490_envelope.log
/data/data/####/tbs_download_config.xml
/data/data/####/tbs_download_config.xml.bak
/data/data/####/tbs_download_stat.xml
/data/data/####/tbscoreinstall.txt
/data/data/####/tbslock.txt
/data/data/####/ua.db
/data/data/####/ua.db-journal
/data/data/####/um_pri.xml
/data/data/####/umdat.xml
/data/data/####/umeng_common_config.xml
/data/data/####/umeng_common_location.xml
/data/data/####/umeng_general_config.xml
/data/data/####/umeng_it.cache
/data/data/####/umeng_message_state.xml
/data/data/####/umeng_socialize.xml
/data/misc/####/primary.prof

Другие:

Запускает следующие shell-скрипты:

/system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
/system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
getprop
getprop ro.product.cpu.abi
ls /
ls /sys/class/thermal

Использует следующие алгоритмы для шифрования данных:

AES-CBC-PKCS5Padding
AES-CBC-PKCS7Padding
AES-GCM-NoPadding
RSA-ECB-NoPadding
RSA-ECB-PKCS1Padding

Использует следующие алгоритмы для расшифровки данных:

AES-CBC-PKCS7Padding
AES-GCM-NoPadding

Осуществляет доступ к приватному интерфейсу ITelephony.

Использует специальную библиотеку для скрытия исполняемого байт-кода.

Получает информацию о сети.

Получает информацию о телефоне (номер, IMEI и т. д.).

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней