Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.348.origin
- Android.DownLoader.396.origin
- Android.DownLoader.455.origin
- Android.DownLoader.698.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ff.t####.com.####.com:80
- TCP(HTTP/1.1) na61-na####.wagbr####.adverti####.####.com:80
- TCP(HTTP/1.1) na61-####.wagbr####.ali####.####.com:80
- TCP(HTTP/1.1) err.ta####.com:80
- TCP(HTTP/1.1) f.you####.com:80
- TCP(HTTP/1.1) a.i####.pp.cn:80
- TCP(HTTP/1.1) android####.2####.com:80
- TCP(HTTP/1.1) na61-####.wagbr####.adverti####.####.com:80
- TCP(HTTP/1.1) a####.m.ta####.com:80
- TCP(HTTP/1.1) res####.a####.com:80
- TCP(TLS/1.0) err.ta####.com:443
- TCP k1.yo####.com:7801
- TCP p3.i####.com:7803
- TCP k1.yo####.com:7802
- TCP f.you####.com:7802
Запросы DNS:
- a####.m.ta####.com
- a.i####.pp.cn
- android####.2####.com
- android####.2####.com
- api####.a####.com
- e####.ta####.com
- err.ta####.com
- f.you####.com
- ff.t####.com
- h####.ali####.com
- k1.yo####.com
- l####.cs.pp.cn
- mt####.go####.com
- p####.cs.pp.cn
- p1.i####.com
- p2.i####.com
- p3.i####.com
- res####.a####.com
- s1.u####.com
- sjzs####.2####.com
Запросы HTTP GET:
- a.i####.pp.cn/fs08/2020/04/03/0/2dd0aec8df352848805a613ac989ea93.png
- a.i####.pp.cn/uploadfile/android/poster/images/2015/1226/201512261451142...
- android####.2####.com/fs04/2015/08/14/4/15f7b8baf5aeecb8a77b02462872c539...
- android####.2####.com/fs08/2016/06/08/5/1_b85000ee32fae7d7627555ae2a575f...
- android####.2####.com/fs08/2016/09/28/2/eee13d80fd03d140f96bfc9317d06613...
- android####.2####.com/fs08/2017/12/22/11/110_f1e5268fabc3e609991ad69ea31...
- android####.2####.com/fs08/2020/06/19/1/110_dcebbb900a5886a65b8ab8639f09...
- android####.2####.com/fs08/2020/06/30/3/1_6c726719120fde1b80c59e678f6736...
- android####.2####.com/fs08/2020/07/09/7/109_51e9c52a467c524278efcb9239fb...
- android####.2####.com/fs08/2020/07/16/11/110_573c4069690c191e457bf6dfbdf...
- android####.2####.com/fs08/2020/07/23/6/110_8c1564bb03f5565b14d562e1b1ef...
- android####.2####.com/fs08/2020/07/23/7/109_51b57c832071fbb5e49e01d3dc69...
- android####.2####.com/fs08/2020/07/27/8/123_9323673b84d57578cdab2d13a1b6...
- android####.2####.com/fs08/2020/07/28/6/106_4ad4d5ad22fa68b9cf34f8b9d1b2...
- android####.2####.com/fs08/2020/07/29/8/122_cc0740e9786a72086fd624939c53...
- android####.2####.com/fs08/2020/07/31/5/109_58f14be8c50b63f3fa1f52bd8a79...
- android####.2####.com/fs08/2020/08/03/1/110_b98dd554001739321746b6911d25...
- android####.2####.com/fs08/2020/08/03/4/110_f5b932b65781ee6fb0c01078914a...
- android####.2####.com/fs08/2020/08/03/7/123_9652340f5508d3670be6fdea09ff...
- android####.2####.com/fs08/2020/08/03/9/106_3f0404a4834da347d2506fecce27...
- err.ta####.com/error2.html
- f.you####.com/cdn?id=####
- ff.t####.com.####.com/d/44z6.png
- na61-####.wagbr####.adverti####.####.com/relay/download/plugin?url=9cM####
- na61-####.wagbr####.adverti####.####.com/relay/download/plugin?url=ito####
Запросы HTTP POST:
- a####.m.ta####.com/rest/gc?ak=####&av=####&c=####&v=####&s=####&d=####&s...
- a####.m.ta####.com/rest/sur?ak=####&av=####&c=####&v=####&s=####&d=####&...
- na61-####.wagbr####.adverti####.####.com/api/client.plugin.sync
- na61-####.wagbr####.adverti####.####.com/api/combine
- na61-####.wagbr####.adverti####.####.com/api/log.getSecurityId
- na61-####.wagbr####.adverti####.####.com/api/log.setPromoter
- na61-####.wagbr####.adverti####.####.com/api/op.ad.getAds
- na61-####.wagbr####.adverti####.####.com/api/op.ad.getAdses
- na61-####.wagbr####.adverti####.####.com/api/op.config.getSplashScreenCo...
- na61-####.wagbr####.adverti####.####.com/api/op.config.list
- na61-####.wagbr####.adverti####.####.com/api/op.rec.app.getHotApps
- na61-####.wagbr####.adverti####.####.com/api/op.task.getLatestAvailableA...
- na61-####.wagbr####.adverti####.####.com/api/resource.app.checkUpdateV1
- na61-####.wagbr####.adverti####.####.com/api/resource.gift.getInstalledG...
- na61-####.wagbr####.ali####.####.com/utdid_pp_helper/get_aid/?auth[token...
- na61-na####.wagbr####.adverti####.####.com/api/log.upload
- na61-na####.wagbr####.adverti####.####.com/api/puid.getId
- res####.a####.com/v3/fastconnect?
- res####.a####.com/v3/log/init
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/230OOp11
- /data/data/####/Alvin2.xml
- /data/data/####/AppStore.xml
- /data/data/####/ContextData.xml
- /data/data/####/OfJbkLdFbPOMbGyP.xml
- /data/data/####/UTMCBase.xml
- /data/data/####/UTMCConf-1237416680.xml
- /data/data/####/UTMCLog-1237416680.xml
- /data/data/####/a
- /data/data/####/app_setting_prefs.xml
- /data/data/####/busybox
- /data/data/####/config_1.xml
- /data/data/####/db_downloader-journal
- /data/data/####/downloader_pref.xml
- /data/data/####/f20Ve4DD
- /data/data/####/fcut_appInfo_pre.xml
- /data/data/####/fcut_conf_pre.xml
- /data/data/####/last_known_location.xml
- /data/data/####/plugin_info
- /data/data/####/po_download.db-journal
- /data/data/####/pp.plugin.floatwindow_internal.apk
- /data/data/####/pp.plugin.lucky.apk
- /data/data/####/pp.plugin.lucky.apk_1.1_3.apk.tp
- /data/data/####/pp.plugin.theme.apk
- /data/data/####/pp.plugin.theme.apk_1.4_17.apk.tp
- /data/data/####/pp_db_2
- /data/data/####/pp_db_2-journal
- /data/data/####/pp_http_db-journal
- /data/data/####/release.ini
- /data/data/####/share_data.xml
- /data/data/####/ybappInfo_pre.xml
- /data/data/####/ybconf_pre.xml
- /data/data/####/yo_fac_pre.xml
- /data/data/####/yo_fconf_pre.xml
- /data/data/####/yo_finfo_pre.xml
- /data/data/####/yoappInfo_pre.xml
- /data/data/####/yoconf_pre.xml
- /data/data/####/yop_download.db
- /data/data/####/yop_download.db-journal
- /data/data/####/yotrategy_pre.xml
- /data/media/####/10ffaad7c65525e371d53ac296302761.0
- /data/media/####/12fcbe9b8f8645bf0d33fa775e3d34e4.0
- /data/media/####/1596496025329u.jar
- /data/media/####/1596496026493u.jar
- /data/media/####/1596496027054q.jar
- /data/media/####/1596496027599u.jar
- /data/media/####/1596496031531b.jar
- /data/media/####/2109eb54e9c16a724cea11e9ec4a6054.n
- /data/media/####/32143f9c8b2231e89017c08246b9ee2d.0
- /data/media/####/368fb0ad018fa5ebcf7cb0c2b1d32ed7.0
- /data/media/####/3e314b366e96e60108b655a0ccc94a65.0
- /data/media/####/44z6.png.data
- /data/media/####/4c40822477be9c5d641761526385ea51.0
- /data/media/####/51c129557e48297233f3e04b3a30f349.0
- /data/media/####/713cfa5b7c91cb3e2b63394ae8eea59f.n
- /data/media/####/7eaaf0981b29a74e1bda9fd8795a5790.0
- /data/media/####/8be481714cc364775a4fabba53cbae86.0
- /data/media/####/9b96e1e41bd28d1f6697b11e8f4b3c06.0
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/ProfileData
- /data/media/####/a0d8b854e6730fc3e5ff212443d74bc4.0
- /data/media/####/ac8b460ef9b8fb21200e060910b9a45b.0
- /data/media/####/b3fb813e0eac5c8ff155f59f0aa3f4a5.0
- /data/media/####/b4d1f68ccc357e10824d63061297d53c.0
- /data/media/####/c3c318fba03f7a6806d230faa2a7ca56.0
- /data/media/####/cbbb19bc08fcdb37846207b44b71be66.t
- /data/media/####/cf4ee27fc364aefcc44ebd314dcf8237.0
- /data/media/####/f22ee4423ebc3d2f9d62af2df7d00984.0
- /data/media/####/f46baa50eeebb6835ee915809260f63d.0
- /data/media/####/f546f0f6b802722f8c0e46dd53a60bd6.0
- /data/media/####/gifnoc.ini
- /data/media/####/journal
- /data/media/####/journal.1
- /data/media/####/journal.tmp
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/amodel/a com.android.browser/com.android.browser.BrowserActivity 0 <Package Folder>/amodel <Package Folder> http://sjzs-api.25pp.com/api/uninstall?content=aW1laT0zNTY1MDcwNTkzNTE4OTVgbW9kZWw9R1QtSTgxOTBgdWlkPWJiNjEyZTY3MDA5MjBkZWI5NDY0MmY1YmQzZjU1NjFlYHV1aWQ9ZGVmYXVsdGByb209MThgdmVyPTYuMC4xYGNoPVBNXzMxYGFjdGlvbj11bmluc3RhbGxgcHJvZHVjdGlkPTIwMDFgcmVzb2x1dGlvbj02MDAqNzUyYGluc3RhbGx0aW1lPTIwMjAtMDgtMDQgMDI6MDc6MDI= null
- chmod 755 <Package Folder>/files/busybox
- chmod 775 <Package Folder>/amodel/a
- grep <Package Folder>/amodel/a
- sh
- sh <Package Folder>/amodel/a com.android.browser/com.android.browser.BrowserActivity 0 <Package Folder>/amodel <Package Folder> http://sjzs-api.25pp.com/api/uninstall?content=aW1laT0zNTY1MDcwNTkzNTE4OTVgbW9kZWw9R1QtSTgxOTBgdWlkPWJiNjEyZTY3MDA5MjBkZWI5NDY0MmY1YmQzZjU1NjFlYHV1aWQ9ZGVmYXVsdGByb209MThgdmVyPTYuMC4xYGNoPVBNXzMxYGFjdGlvbj11bmluc3RhbGxgcHJvZHVjdGlkPTIwMDFgcmVzb2x1dGlvbj02MDAqNzUyYGluc3RhbGx0aW1lPTIwMjAtMDgtMDQgMDI6MDc6MDI= null
Загружает динамические библиотеки:
- pppmtools
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- AES-ECB-ZeroBytePadding
- RSA
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Содержит функциональность для автоматической отправки SMS.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Управляет Wi-Fi-подключением.
