Android.Packed.53841

Техническая информация

Вредоносные функции:

Выполняет код следующих детектируемых угроз:

Android.DownLoader.348.origin
Android.DownLoader.396.origin
Android.DownLoader.455.origin
Android.DownLoader.698.origin

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) yuan####.com:80
TCP(HTTP/1.1) rqd.sp####.mig.####.net:80
TCP k1.yo####.com:7801
TCP b1.v####.com:7802
TCP b1.v####.com:7602
TCP b3.v####.com:7603
TCP b3.v####.com:7803
TCP b1.v####.com:7601

Запросы DNS:

b1.v####.com
b2.v####.com
b3.v####.com
f####.yuan####.com
int.d####.s####.####.cn
k1.yo####.com
p1.i####.com
p2.i####.com
p3.i####.com
pi####.qq.com
r####.uu.qq.com
s1.u####.com
yuan####.com

Запросы HTTP POST:

rqd.sp####.mig.####.net/rqd/sync
yuan####.com/android/gaozhong/stat?platform=####&version=####&vendor=###...
yuan####.com/stat

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/.md5
/data/data/####/.sec_version
/data/data/####/1596351418680cu.dex
/data/data/####/1596351419046q.dex
/data/data/####/1596351419701u.dex
/data/data/####/1596351424611e.dex
/data/data/####/bugly_db
/data/data/####/bugly_db-journal
/data/data/####/classes.dex
/data/data/####/classes.jar
/data/data/####/com.fenbi.android.gaozhongyu
/data/data/####/com.fenbi.android.gaozhongyu.art
/data/data/####/com.fenbi.android.gaozhongyu.art.20
/data/data/####/com.fenbi.android.gaozhongyu_preferences.xml
/data/data/####/container.apk
/data/data/####/container.dex
/data/data/####/container.pre_global_config
/data/data/####/device_id.xml.xml
/data/data/####/fcut_appInfo_pre.xml
/data/data/####/fcut_conf_pre.xml
/data/data/####/libcpu
/data/data/####/libsecexe.x86.so
/data/data/####/libsecmain.x86.so
/data/data/####/libsecpreload.x86.so
/data/data/####/plugin-deploy.dex
/data/data/####/plugin-deploy.jar
/data/data/####/plugin-deploy.key
/data/data/####/po_download.db
/data/data/####/po_download.db-journal
/data/data/####/preference.common.xml
/data/data/####/pri_tencent_analysis.db
/data/data/####/pri_tencent_analysis.db-journal
/data/data/####/tencent_analysis.db
/data/data/####/tencent_analysis.db-journal
/data/data/####/webview.db
/data/data/####/webview.db-journal
/data/data/####/ybappInfo_pre.xml
/data/data/####/ybconf_pre.xml
/data/data/####/ybtrategy_pre.xml
/data/data/####/yo_fconf_pre.xml
/data/data/####/yoappInfo_pre.xml
/data/data/####/yob_download.db
/data/data/####/yob_download.db-journal
/data/data/####/yoconf_pre.xml
/data/data/####/yop_download.db
/data/data/####/yop_download.db-journal
/data/data/####/yotrategy_pre.xml
/data/data/####/yuantiku_db
/data/data/####/yuantiku_db-journal
/data/media/####/1596351418680cu.jar
/data/media/####/1596351419046q.jar
/data/media/####/1596351419701u.jar
/data/media/####/1596351424611e.jar
/data/media/####/amssym.def
/data/media/####/amssym.tex
/data/media/####/apetex.local
/data/media/####/apetex.tex
/data/media/####/black.tfm
/data/media/####/blackcx.tfm
/data/media/####/cmb10.720pk
/data/media/####/cmb10.tfm
/data/media/####/cmbsy10.720pk
/data/media/####/cmbsy10.tfm
/data/media/####/cmbsy5.720pk
/data/media/####/cmbsy5.tfm
/data/media/####/cmbsy6.720pk
/data/media/####/cmbsy6.tfm
/data/media/####/cmbsy7.720pk
/data/media/####/cmbsy7.tfm
/data/media/####/cmbsy8.720pk
/data/media/####/cmbsy8.tfm
/data/media/####/cmbsy9.720pk
/data/media/####/cmbsy9.tfm
/data/media/####/cmbx10.720pk
/data/media/####/cmbx10.tfm
/data/media/####/cmbx12.720pk
/data/media/####/cmbx12.tfm
/data/media/####/cmbx5.720pk
/data/media/####/cmbx5.tfm
/data/media/####/cmbx6.720pk
/data/media/####/cmbx6.tfm
/data/media/####/cmbx7.720pk
/data/media/####/cmbx7.tfm
/data/media/####/cmbx8.720pk
/data/media/####/cmbx8.tfm
/data/media/####/cmbx9.720pk
/data/media/####/cmbx9.tfm
/data/media/####/cmbxsl10.720pk
/data/media/####/cmbxsl10.tfm
/data/media/####/cmbxti10.720pk
/data/media/####/cmbxti10.tfm
/data/media/####/cmcsc10.720pk
/data/media/####/cmcsc10.tfm
/data/media/####/cmcsc8.720pk
/data/media/####/cmcsc8.tfm
/data/media/####/cmcsc9.720pk
/data/media/####/cmcsc9.tfm
/data/media/####/cmdunh10.720pk
/data/media/####/cmdunh10.tfm
/data/media/####/cmex10.720pk
/data/media/####/cmex10.tfm
/data/media/####/cmex7.720pk
/data/media/####/cmex7.tfm
/data/media/####/cmex8.720pk
/data/media/####/cmex8.tfm
/data/media/####/cmex9.720pk
/data/media/####/cmex9.tfm
/data/media/####/cmff10.720pk
/data/media/####/cmff10.tfm
/data/media/####/cmfi10.720pk
/data/media/####/cmfi10.tfm
/data/media/####/cmfib8.720pk
/data/media/####/cmfib8.tfm
/data/media/####/cminch.720pk
/data/media/####/cminch.tfm
/data/media/####/cmitt10.720pk
/data/media/####/cmitt10.tfm
/data/media/####/cmman.720pk
/data/media/####/cmman.tfm
/data/media/####/cmmi10.720pk
/data/media/####/cmmi10.tfm
/data/media/####/cmmi12.720pk
/data/media/####/cmmi12.tfm
/data/media/####/cmmi5.720pk
/data/media/####/cmmi5.tfm
/data/media/####/cmmi6.720pk
/data/media/####/cmmi6.tfm
/data/media/####/cmmi7.720pk
/data/media/####/cmmi7.tfm
/data/media/####/cmmi8.720pk
/data/media/####/cmmi8.tfm
/data/media/####/cmmi9.720pk
/data/media/####/cmmi9.tfm
/data/media/####/cmmib10.720pk
/data/media/####/cmmib10.tfm
/data/media/####/cmmib5.720pk
/data/media/####/cmmib5.tfm
/data/media/####/cmmib6.720pk
/data/media/####/cmmib6.tfm
/data/media/####/cmmib7.720pk
/data/media/####/cmmib7.tfm
/data/media/####/cmmib8.720pk
/data/media/####/cmmib8.tfm
/data/media/####/cmmib9.720pk
/data/media/####/cmmib9.tfm
/data/media/####/cmr10.720pk
/data/media/####/cmr10.tfm
/data/media/####/cmr12.720pk
/data/media/####/cmr12.tfm
/data/media/####/cmr17.720pk
/data/media/####/cmr17.tfm
/data/media/####/cmr5.720pk
/data/media/####/cmr5.tfm
/data/media/####/cmr6.720pk
/data/media/####/cmr6.tfm
/data/media/####/cmr7.720pk
/data/media/####/cmr7.tfm
/data/media/####/cmr8.720pk
/data/media/####/cmr8.tfm
/data/media/####/cmr9.720pk
/data/media/####/cmr9.tfm
/data/media/####/cmsl10.720pk
/data/media/####/cmsl10.tfm
/data/media/####/cmsl12.720pk
/data/media/####/cmsl12.tfm
/data/media/####/cmsl8.720pk
/data/media/####/cmsl8.tfm
/data/media/####/cmsl9.720pk
/data/media/####/cmsl9.tfm
/data/media/####/cmsltt10.720pk
/data/media/####/cmsltt10.tfm
/data/media/####/cmss10.720pk
/data/media/####/cmss10.tfm
/data/media/####/cmss12.720pk
/data/media/####/cmss12.tfm
/data/media/####/cmss17.720pk
/data/media/####/cmss17.tfm
/data/media/####/cmss8.720pk
/data/media/####/cmss8.tfm
/data/media/####/cmss9.720pk
/data/media/####/cmss9.tfm
/data/media/####/cmssbx10.720pk
/data/media/####/cmssbx10.tfm
/data/media/####/cmssdc10.720pk
/data/media/####/cmssdc10.tfm
/data/media/####/cmssi10.720pk
/data/media/####/cmssi10.tfm
/data/media/####/cmssi12.720pk
/data/media/####/cmssi12.tfm
/data/media/####/cmssi17.720pk
/data/media/####/cmssi17.tfm
/data/media/####/cmssi8.720pk
/data/media/####/cmssi8.tfm
/data/media/####/cmssi9.720pk
/data/media/####/cmssi9.tfm
/data/media/####/cmssq8.720pk
/data/media/####/cmssq8.tfm
/data/media/####/cmssqi8.720pk
/data/media/####/cmssqi8.tfm
/data/media/####/cmsy10.720pk
/data/media/####/cmsy10.tfm
/data/media/####/cmsy5.720pk
/data/media/####/cmsy5.tfm
/data/media/####/cmsy6.720pk
/data/media/####/cmsy6.tfm
/data/media/####/cmsy7.720pk
/data/media/####/cmsy7.tfm
/data/media/####/cmsy8.720pk
/data/media/####/cmsy8.tfm
/data/media/####/cmsy9.720pk
/data/media/####/cmsy9.tfm
/data/media/####/cmtcsc10.720pk
/data/media/####/cmtcsc10.tfm
/data/media/####/cmtex10.720pk
/data/media/####/cmtex10.tfm
/data/media/####/cmtex8.720pk
/data/media/####/cmtex8.tfm
/data/media/####/cmtex9.720pk
/data/media/####/cmtex9.tfm
/data/media/####/cmti10.720pk
/data/media/####/cmti10.tfm
/data/media/####/cmti12.720pk
/data/media/####/cmti12.tfm
/data/media/####/cmti7.720pk
/data/media/####/cmti7.tfm
/data/media/####/cmti8.720pk
/data/media/####/cmti8.tfm
/data/media/####/cmti9.720pk
/data/media/####/cmti9.tfm
/data/media/####/cmtt10.720pk
/data/media/####/cmtt10.tfm
/data/media/####/cmtt12.720pk
/data/media/####/cmtt12.tfm
/data/media/####/cmtt8.720pk
/data/media/####/cmtt8.tfm
/data/media/####/cmtt9.720pk
/data/media/####/cmtt9.tfm
/data/media/####/cmu10.720pk
/data/media/####/cmu10.tfm
/data/media/####/cmvtt10.720pk
/data/media/####/cmvtt10.tfm
/data/media/####/dummy.tfm
/data/media/####/euex10.720pk
/data/media/####/euex10.tfm
/data/media/####/euex7.720pk
/data/media/####/euex7.tfm
/data/media/####/euex8.720pk
/data/media/####/euex8.tfm
/data/media/####/euex9.720pk
/data/media/####/euex9.tfm
/data/media/####/eufb10.720pk
/data/media/####/eufb10.tfm
/data/media/####/eufb5.720pk
/data/media/####/eufb5.tfm
/data/media/####/eufb6.720pk
/data/media/####/eufb6.tfm
/data/media/####/eufb7.720pk
/data/media/####/eufb7.tfm
/data/media/####/eufb8.720pk
/data/media/####/eufb8.tfm
/data/media/####/eufb9.720pk
/data/media/####/eufb9.tfm
/data/media/####/eufm10.720pk
/data/media/####/eufm10.tfm
/data/media/####/eufm5.720pk
/data/media/####/eufm5.tfm
/data/media/####/eufm6.720pk
/data/media/####/eufm6.tfm
/data/media/####/eufm7.720pk
/data/media/####/eufm7.tfm
/data/media/####/eufm8.720pk
/data/media/####/eufm8.tfm
/data/media/####/eufm9.720pk
/data/media/####/eufm9.tfm
/data/media/####/eurb10.720pk
/data/media/####/eurb10.tfm
/data/media/####/eurb5.720pk
/data/media/####/eurb5.tfm
/data/media/####/eurb6.720pk
/data/media/####/eurb6.tfm
/data/media/####/eurb7.720pk
/data/media/####/eurb7.tfm
/data/media/####/eurb8.720pk
/data/media/####/eurb8.tfm
/data/media/####/eurb9.720pk
/data/media/####/eurb9.tfm
/data/media/####/eurm10.720pk
/data/media/####/eurm10.tfm
/data/media/####/eurm5.720pk
/data/media/####/eurm5.tfm
/data/media/####/eurm6.720pk
/data/media/####/eurm6.tfm
/data/media/####/eurm7.720pk
/data/media/####/eurm7.tfm
/data/media/####/eurm8.720pk
/data/media/####/eurm8.tfm
/data/media/####/eurm9.720pk
/data/media/####/eurm9.tfm
/data/media/####/eusb10.720pk
/data/media/####/eusb10.tfm
/data/media/####/eusb5.720pk
/data/media/####/eusb5.tfm
/data/media/####/eusb6.720pk
/data/media/####/eusb6.tfm
/data/media/####/eusb7.720pk
/data/media/####/eusb7.tfm
/data/media/####/eusb8.720pk
/data/media/####/eusb8.tfm
/data/media/####/eusb9.720pk
/data/media/####/eusb9.tfm
/data/media/####/eusm10.720pk
/data/media/####/eusm10.tfm
/data/media/####/eusm5.720pk
/data/media/####/eusm5.tfm
/data/media/####/eusm6.720pk
/data/media/####/eusm6.tfm
/data/media/####/eusm7.720pk
/data/media/####/eusm7.tfm
/data/media/####/eusm8.720pk
/data/media/####/eusm8.tfm
/data/media/####/eusm9.720pk
/data/media/####/eusm9.tfm
/data/media/####/gray.tfm
/data/media/####/graycx.tfm
/data/media/####/grayimagen3.tfm
/data/media/####/hyphen.tex
/data/media/####/logo10.720pk
/data/media/####/logo10.tfm
/data/media/####/logo8.720pk
/data/media/####/logo8.tfm
/data/media/####/logo9.720pk
/data/media/####/logo9.tfm
/data/media/####/logobf10.720pk
/data/media/####/logobf10.tfm
/data/media/####/logod10.720pk
/data/media/####/logod10.tfm
/data/media/####/logosl10.720pk
/data/media/####/logosl10.tfm
/data/media/####/logosl8.720pk
/data/media/####/logosl8.tfm
/data/media/####/logosl9.720pk
/data/media/####/logosl9.tfm
/data/media/####/manfnt.720pk
/data/media/####/manfnt.tfm
/data/media/####/msam10.720pk
/data/media/####/msam10.tfm
/data/media/####/msam5.720pk
/data/media/####/msam5.tfm
/data/media/####/msam6.720pk
/data/media/####/msam6.tfm
/data/media/####/msam7.720pk
/data/media/####/msam7.tfm
/data/media/####/msam8.720pk
/data/media/####/msam8.tfm
/data/media/####/msam9.720pk
/data/media/####/msam9.tfm
/data/media/####/msbm10.720pk
/data/media/####/msbm10.tfm
/data/media/####/msbm5.720pk
/data/media/####/msbm5.tfm
/data/media/####/msbm6.720pk
/data/media/####/msbm6.tfm
/data/media/####/msbm7.720pk
/data/media/####/msbm7.tfm
/data/media/####/msbm8.720pk
/data/media/####/msbm8.tfm
/data/media/####/msbm9.720pk
/data/media/####/msbm9.tfm
/data/media/####/oneone.tfm
/data/media/####/plain.tex
/data/media/####/slantcx4.tfm
/data/media/####/slantcx6.tfm
/data/media/####/slantlj4.tfm
/data/media/####/slantlj6.tfm
/data/media/####/tex.pool
/data/media/####/wncyb10.720pk
/data/media/####/wncyb10.tfm
/data/media/####/wncyb5.720pk
/data/media/####/wncyb5.tfm
/data/media/####/wncyb6.720pk
/data/media/####/wncyb6.tfm
/data/media/####/wncyb7.720pk
/data/media/####/wncyb7.tfm
/data/media/####/wncyb8.720pk
/data/media/####/wncyb8.tfm
/data/media/####/wncyb9.720pk
/data/media/####/wncyb9.tfm
/data/media/####/wncyi10.720pk
/data/media/####/wncyi10.tfm
/data/media/####/wncyi5.720pk
/data/media/####/wncyi5.tfm
/data/media/####/wncyi6.720pk
/data/media/####/wncyi6.tfm
/data/media/####/wncyi7.720pk
/data/media/####/wncyi7.tfm
/data/media/####/wncyi8.720pk
/data/media/####/wncyi8.tfm
/data/media/####/wncyi9.720pk
/data/media/####/wncyi9.tfm
/data/media/####/wncyr10.720pk
/data/media/####/wncyr10.tfm
/data/media/####/wncyr5.720pk
/data/media/####/wncyr5.tfm
/data/media/####/wncyr6.720pk
/data/media/####/wncyr6.tfm
/data/media/####/wncyr7.720pk
/data/media/####/wncyr7.tfm
/data/media/####/wncyr8.720pk
/data/media/####/wncyr8.tfm
/data/media/####/wncyr9.720pk
/data/media/####/wncyr9.tfm
/data/media/####/wncysc10.720pk
/data/media/####/wncysc10.tfm
/data/media/####/wncyss10.720pk
/data/media/####/wncyss10.tfm
/data/media/####/wncyss8.720pk
/data/media/####/wncyss8.tfm
/data/media/####/wncyss9.720pk
/data/media/####/wncyss9.tfm

Другие:

Запускает следующие shell-скрипты:

/system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
/system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
/system/bin/sh -c getprop ro.board.platform
<Package> <Package> -1836135656 0 /data/app/<Package>-1.apk 41 <Package> 43 44 1 0
<Package> <Package> -1836135656 0 /data/app/<Package>-1.apk 41 <Package> 43 45 1 0
chmod 755 <Package Folder>/.cache/<Package>
chmod 755 <Package Folder>/.cache/<Package>.art
chmod 755 <Package Folder>/.cache/<Package>.art.20
chmod 775 <Package Folder>/app_bangcleplugin/libcpu
getprop ro.board.platform
getprop ro.product.cpu.abi
sh -c <Package Folder>/app_bangcleplugin/libcpu /storage/emulated/0/.732c2ff4-8242-3b10-81d6-23262f019c28 18 1 <Package>
sh -c chmod 775 <Package Folder>/app_bangcleplugin/libcpu

Загружает динамические библиотеки:

Bugly
MtaNativeCrash
libsecexe.x86

Использует следующие алгоритмы для шифрования данных:

DES-CBC-PKCS5Padding

Использует следующие алгоритмы для расшифровки данных:

DES-CBC-PKCS5Padding
RSA-ECB-PKCS1Padding

Использует специальную библиотеку для скрытия исполняемого байт-кода.

Получает информацию о сети.

Получает информацию о телефоне (номер, IMEI и т. д.).

Получает информацию об установленных приложениях.

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней