Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.860.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) b####.img.ire####.com:80
- TCP(HTTP/1.1) log.tracki####.com:80
- TCP(HTTP/1.1) oth####.d.ire####.####.com:80
- TCP(HTTP/1.1) sys.zhan####.com:80
- TCP(HTTP/1.1) ah2.zhan####.com:80
- TCP(HTTP/1.1) log.ire####.com:80
- TCP(HTTP/1.1) doma####.zhangy####.com:80
- TCP(HTTP/1.1) p####.zhan####.com:80
- TCP(TLS/1.0) api.w####.com:443
- TCP(TLS/1.0) stati####.palmes####.com.####.com:443
- TCP(TLS/1.0) s####.we####.com:443
- TCP(TLS/1.0) c####.x####.com:443
- TCP(TLS/1.0) is.sn####.com:443
- TCP(TLS/1.0) bo####.img.zhangy####.com:443
- TCP(TLS/1.0) dj.palmes####.com:443
- TCP(TLS/1.0) api.up####.com:443
Запросы DNS:
- ah2.zhan####.com
- an####.l####.com
- api.up####.com
- api.w####.com
- av1.x####.com
- b####.img.ire####.com
- bo####.img.zhangy####.com
- c####.x####.com
- c####.x####.com
- dc.l####.com
- dj.palmes####.com
- doma####.zhangy####.com
- doma####.zhangy####.com
- doma####.zhangy####.com
- doma####.zhangy####.com
- is.sn####.com
- log.ire####.com
- log.tracki####.com
- oth####.d.ire####.com
- p####.zhan####.com
- s####.we####.com
- sdk.c####.com
- stati####.palmes####.com
- sys.zhan####.com
Запросы HTTP GET:
- b####.img.ire####.com/group61/M00/3E/2D/CmQUOF7hxbiEK2CmAAAAAMg-ql869078...
- b####.img.ire####.com/group61/M00/43/BA/CmQUOF27jn-EMMAFAAAAANwKBes25999...
- b####.img.ire####.com/group61/M00/43/BA/CmQUOF27jnWEdhwMAAAAALd0uz884536...
- b####.img.ire####.com/group61/M00/43/BA/CmQUOF27jrKEa2MVAAAAANjP6fM76995...
- b####.img.ire####.com/group61/M00/43/C2/CmQUOV27jr6EDUyoAAAAAECbPAk60777...
- b####.img.ire####.com/group61/M00/96/3D/CmQUOF6IiKiEGwmVAAAAAL1vO0k79214...
- b####.img.ire####.com/group61/M00/9F/D3/CmQUOV6NvzGEFif0AAAAADUOu3g88926...
- doma####.zhangy####.com/cloudconf/confs?random=####&p2=####&p3=####
- log.tracki####.com/receive/gettime
- oth####.d.ire####.####.com/group8/M00/19/ED/wKgHil2oCeWEMuKCAAAAACoPoeo2...
- p####.zhan####.com/cocoon/alias/gen?zyeid=####&usr=####&rgt=####&p1=####...
Запросы HTTP POST:
- ah2.zhan####.com/zyapi/bookstore/ad/boot
- log.ire####.com/log-agent/log
- log.ire####.com/log-agent/rlog
- log.tracki####.com/receive/tkio/install
- log.tracki####.com/receive/tkio/startup
- sys.zhan####.com/message/taskConfigure?package=####&zyeid=####&usr=####&...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/0
- /data/data/####/1592148461432_2189
- /data/data/####/1592148461894_2189
- /data/data/####/1592148462257_2189
- /data/data/####/1592148462447_2189
- /data/data/####/1592148462735.apk
- /data/data/####/1592148463580_2189
- /data/data/####/1592148463969_2189
- /data/data/####/1592148471157.apk
- /data/data/####/1592148474769_2189
- /data/data/####/1592148476323_2189
- /data/data/####/1592148476714.apk
- /data/data/####/1592148488524_2628
- /data/data/####/1592148494232_2628
- /data/data/####/1592148502963_2628
- /data/data/####/1592148521534.apk
- /data/data/####/1592148521590.apk
- /data/data/####/1592148526485_2189
- /data/data/####/Alvin2.xml
- /data/data/####/Archimedes_p1
- /data/data/####/Archimedes_p2
- /data/data/####/Archimedes_p3
- /data/data/####/Archimedes_p4
- /data/data/####/Archimedes_p5
- /data/data/####/ContextData.xml
- /data/data/####/GeneralSetting.xml
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/Reyun.db
- /data/data/####/Reyun.db-journal
- /data/data/####/TBFileDownload-journal
- /data/data/####/TDCloudSettingsConfig50E9251AE9D74852BE9061C7154394DD.xml
- /data/data/####/TD_app_pefercen_profile.xml
- /data/data/####/TDpref_cloudcontrol1.xml
- /data/data/####/TDpref_longtime.xml
- /data/data/####/TDpref_longtime0.xml
- /data/data/####/TDpref_shorttime.xml
- /data/data/####/TDpref_shorttime0.xml
- /data/data/####/ax_c.xml
- /data/data/####/classes.dex
- /data/data/####/classes.dex (deleted)
- /data/data/####/com.chaozh.iReader.dmj-1.apk.classes688643821.zip
- /data/data/####/com.chaozh.iReader.dmj-1.apk.classes783581424.zip
- /data/data/####/com.chaozh.iReader.dmj-1.apk.classes979620673.zip
- /data/data/####/com.zhangyue.iReader.SharedPreferences.temp.xml
- /data/data/####/com.zhangyue.iReader.SharedPreferences.xml
- /data/data/####/com.zhangyue.iReader.bookstore.SP.xml
- /data/data/####/com.zhangyue.module.ad.xml
- /data/data/####/downloader.db-journal
- /data/data/####/experience.db-journal
- /data/data/####/gg.dex
- /data/data/####/iReader.db-journal
- /data/data/####/info.txt
- /data/data/####/installedlist.plugin
- /data/data/####/iv
- /data/data/####/mc_cache.xml
- /data/data/####/multidex.version.xml
- /data/data/####/pathinfo
- /data/data/####/pluginwebdiff_djbookstore.tmp
- /data/data/####/salt
- /data/data/####/schedule
- /data/data/####/task.db-journal
- /data/data/####/tdid.xml
- /data/data/####/theme_bg1.xml
- /data/data/####/theme_bg2.xml
- /data/data/####/theme_bg3.xml
- /data/data/####/theme_bg5.xml
- /data/data/####/theme_bg_huyan.xml
- /data/data/####/theme_bg_yejian6.xml
- /data/data/####/theme_bg_yejian7.xml
- /data/data/####/theme_bg_yejian8.xml
- /data/data/####/theme_bg_yejian9.xml
- /data/data/####/theme_layout_manhua.xml
- /data/data/####/theme_layout_pad70.xml
- /data/data/####/theme_layout_pad70_chuban.xml
- /data/data/####/theme_layout_pad70_qingsuan.xml
- /data/data/####/theme_layout_pad70_wangwen.xml
- /data/data/####/theme_pager.xml
- /data/data/####/theme_user.xml
- /data/data/####/tracking_device_id_cache.xml
- /data/data/####/tracking_install.xml
- /data/data/####/tracking_interval.xml
- /data/data/####/tt_sdk_settings.xml
- /data/data/####/ttopenadsdk.xml
- /data/data/####/uparpu.db-journal
- /data/data/####/uparpu_agent_log
- /data/data/####/uparpu_sdk.xml
- /data/data/####/webview.db-journal
- /data/media/####/-1458454591.0.tmp
- /data/media/####/-2123822302.0.tmp
- /data/media/####/-603790427.0.tmp
- /data/media/####/-861675046.0.tmp
- /data/media/####/.DS_Store
- /data/media/####/.nomedia
- /data/media/####/107467943
- /data/media/####/11280520.ix
- /data/media/####/11283808.ix
- /data/media/####/11284828.ix
- /data/media/####/11289540.ix
- /data/media/####/11291310.ix
- /data/media/####/1449573935.0.tmp
- /data/media/####/2105165063.0.tmp
- /data/media/####/39c9cd54862e620b39e429688027c6d9b8a91e5ea5b375....0.tmp
- /data/media/####/3e45104b78bac882c977a8664d5437c424eb9437442608....0.tmp
- /data/media/####/477f9ef3ccb1fc97eb8a69cd921663dcb5c22f8c00b42f....0.tmp
- /data/media/####/919130557.0.tmp
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/a93124cac4bd7f80c67e5705af9460ee9f1773fc5ad6e5....0.tmp
- /data/media/####/ab50fd62f2a2b7d931b45694eeec8a00dce8923e21a128....0.tmp
- /data/media/####/appCache_211dd24.zip.tmp
- /data/media/####/ba67ab4ce2d93af2270b85e068f5095da74a9d56228f82....0.tmp
- /data/media/####/bookfeed.png
- /data/media/####/c7cb3325a169c23f1f46fe97f753ecda1a3fd940731b81....0.tmp
- /data/media/####/chap_vote_after_1x
- /data/media/####/chap_vote_after_2x
- /data/media/####/chap_vote_after_3x
- /data/media/####/chap_vote_before_1x
- /data/media/####/chap_vote_before_2x
- /data/media/####/chap_vote_before_3x
- /data/media/####/chapvote.db-journal
- /data/media/####/copyright.xhtml
- /data/media/####/d318cf535b060ed3f07caea8c3b6581453582107093bac....0.tmp
- /data/media/####/discount.png
- /data/media/####/discount_v.png
- /data/media/####/e38888007943972f7bee40911cc7758991856a3807c104....0.tmp
- /data/media/####/ft_channel_channel_45e37f9.js
- /data/media/####/ft_channel_static_css_c_955d5b5.css
- /data/media/####/ft_channel_static_css_second_0724f80.css
- /data/media/####/ft_common_android_down_9781c21.js
- /data/media/####/ft_common_c_19d5d20.css
- /data/media/####/ft_common_static_js_zybridge_android_3d2baf4.js
- /data/media/####/ft_common_static_js_zybridge_ios_7a129e1.js
- /data/media/####/ft_common_uu_638b01b.js
- /data/media/####/ft_common_zepto_5b96d2c.js
- /data/media/####/ft_sign_static_css_sign_95abb6d.css
- /data/media/####/ft_task_static_css_android_task_c92d65e.css
- /data/media/####/ft_task_static_css_android_v3_base_24095ce.css
- /data/media/####/ft_task_static_css_iphone_task_91d5684.css
- /data/media/####/ft_task_static_css_iphone_v3_base_208f0aa.css
- /data/media/####/guide.gd
- /data/media/####/ic_ad_left.png
- /data/media/####/ic_ad_right.png
- /data/media/####/ic_ad_skip.png
- /data/media/####/idea.db-journal
- /data/media/####/ireader2.db
- /data/media/####/journal
- /data/media/####/journal.tmp
- /data/media/####/mob_analysis.sjbd
- /data/media/####/mob_analysis_39419179-b500-4286-be18-3b594b76142a.iz
- /data/media/####/order.xhtml
- /data/media/####/order_btn_bg.png
- /data/media/####/order_btn_bg_v.png
- /data/media/####/order_content.xhtml
- /data/media/####/order_h.xhtml
- /data/media/####/order_v_h.xhtml
- /data/media/####/public-1.zyres
- /data/media/####/totalbookdown.xhtml
- /data/media/####/totalbookdown_bg.jpg
- /data/media/####/totalbookdown_button.png
- /data/media/####/《剩女快穿33次》.jpg
- /data/media/####/《剩女快穿33次》.zyepub
- /data/media/####/《姐姐是演技派》.jpg
- /data/media/####/《姐姐是演技派》.zyepub
- /data/media/####/《独宠媚色皇妃》.jpg
- /data/media/####/《独宠媚色皇妃》.zyepub
- /data/media/####/《绝世兵锋》.jpg
- /data/media/####/《绝世兵锋》.zyepub
- /data/media/####/《超级纨绔系统》.jpg
- /data/media/####/《超级纨绔系统》.zyepub
Другие:
Запускает следующие shell-скрипты:
- getprop
- getprop net.dns1
- getprop ro.build.version.emui
- getprop ro.config.hw_notch_size
- getprop ro.flyme.published
- getprop ro.letv.release.version
- getprop ro.miui.notch
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.build.display.id
Загружает динамические библиотеки:
- UiControl
- mthook
- tingReader
Использует следующие алгоритмы для шифрования данных:
- AES
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
