Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.396.origin
- Android.DownLoader.455.origin
- Android.DownLoader.675.origin
- Android.DownLoader.698.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.m.ta####.com:80
- TCP(HTTP/1.1) na61-na####.wagbr####.adverti####.####.com:80
- TCP(HTTP/1.1) res####.a####.com:80
- TCP(HTTP/1.1) err.ta####.com:80
- TCP(HTTP/1.1) a.i####.pp.cn:80
- TCP(HTTP/1.1) na61-####.wagbr####.ali####.####.com:80
- TCP(HTTP/1.1) android####.2####.com:80
- TCP(HTTP/1.1) na61-####.wagbr####.adverti####.####.com:80
- TCP(HTTP/1.1) t1.jz####.com:80
- TCP(TLS/1.0) err.ta####.com:443
- TCP t1.jz####.com:7803
- TCP t1.jz####.com:7601
- TCP t1.jz####.com:7101
- TCP t1.jz####.com:7602
- TCP t1.jz####.com:7801
- TCP t1.jz####.com:7603
- TCP p2.jz####.com:7102
- TCP t1.jz####.com:7802
- TCP p2.jz####.com:7802
- TCP t1.jz####.com:7103
Запросы DNS:
- a####.m.ta####.com
- a.i####.pp.cn
- android####.2####.com
- android####.2####.com
- api####.a####.com
- b1.v####.com
- b2.v####.com
- b3.v####.com
- e####.ta####.com
- err.ta####.com
- f.you####.com
- h####.ali####.com
- k1.yo####.com
- l####.cs.pp.cn
- p####.cs.pp.cn
- p1.jz####.com
- p2.jz####.com
- p3.jz####.com
- res####.a####.com
- sjzs####.2####.com
- t1.jz####.com
- t2.jz####.com
- t3.jz####.com
Запросы HTTP GET:
- a.i####.pp.cn/fs08/2020/04/03/0/2dd0aec8df352848805a613ac989ea93.png
- a.i####.pp.cn/uploadfile/android/poster/images/2015/1226/201512261451142...
- android####.2####.com/fs04/2015/08/14/4/15f7b8baf5aeecb8a77b02462872c539...
- android####.2####.com/fs08/2019/09/30/4/110_c78b79733b9fdfe221dadbb3a835...
- android####.2####.com/fs08/2020/03/30/1/110_9d065b98bb50f190ba21f5462e02...
- android####.2####.com/fs08/2020/06/30/3/1_6c726719120fde1b80c59e678f6736...
- android####.2####.com/fs08/2020/07/09/7/109_51e9c52a467c524278efcb9239fb...
- android####.2####.com/fs08/2020/07/16/11/110_573c4069690c191e457bf6dfbdf...
- android####.2####.com/fs08/2020/07/23/7/109_51b57c832071fbb5e49e01d3dc69...
- android####.2####.com/fs08/2020/07/27/10/110_34c4776d78a1b5abc3d035b18ac...
- android####.2####.com/fs08/2020/07/27/8/123_9323673b84d57578cdab2d13a1b6...
- android####.2####.com/fs08/2020/07/28/9/110_a3781ac6bd60988a0c5f81b98a78...
- android####.2####.com/fs08/2020/07/31/5/109_58f14be8c50b63f3fa1f52bd8a79...
- android####.2####.com/fs08/2020/08/03/4/110_f5b932b65781ee6fb0c01078914a...
- err.ta####.com/error2.html
- na61-####.wagbr####.adverti####.####.com/relay/download/plugin?url=ito####
- t1.jz####.com/cdn?id=####
Запросы HTTP POST:
- a####.m.ta####.com/rest/gc?ak=####&av=####&c=####&v=####&s=####&d=####&s...
- a####.m.ta####.com/rest/sur?ak=####&av=####&c=####&v=####&s=####&d=####&...
- na61-####.wagbr####.adverti####.####.com/api/client.plugin.sync
- na61-####.wagbr####.adverti####.####.com/api/combine
- na61-####.wagbr####.adverti####.####.com/api/log.getSecurityId
- na61-####.wagbr####.adverti####.####.com/api/log.setPromoter
- na61-####.wagbr####.adverti####.####.com/api/op.ad.getAds
- na61-####.wagbr####.adverti####.####.com/api/op.ad.getAdses
- na61-####.wagbr####.adverti####.####.com/api/op.collection.getListByTime...
- na61-####.wagbr####.adverti####.####.com/api/op.config.getSplashScreenCo...
- na61-####.wagbr####.adverti####.####.com/api/op.config.list
- na61-####.wagbr####.adverti####.####.com/api/op.rec.app.checkUpdate
- na61-####.wagbr####.adverti####.####.com/api/op.task.getLatestAvailableA...
- na61-####.wagbr####.adverti####.####.com/api/resource.app.checkUpdateV1
- na61-####.wagbr####.adverti####.####.com/api/resource.gift.getInstalledG...
- na61-####.wagbr####.ali####.####.com/utdid_pp_helper/get_aid/?auth[token...
- na61-na####.wagbr####.adverti####.####.com/api/log.upload
- na61-na####.wagbr####.adverti####.####.com/api/puid.getId
- res####.a####.com/v3/fastconnect?
- res####.a####.com/v3/log/init
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/15964771655037.jar
- /data/data/####/15964771686610.jar
- /data/data/####/15964771706559.jar
- /data/data/####/15964771737975.jar
- /data/data/####/1d1a9f1d-405e-479d-9cd6-b0c429c44913_0.tp
- /data/data/####/230OOp11
- /data/data/####/55d8c9f0-afb5-46f0-8f47-fa6a7166e045_0.tp
- /data/data/####/Alvin2.xml
- /data/data/####/AppStore.xml
- /data/data/####/ContextData.xml
- /data/data/####/E_ID356507059351895.db-journal
- /data/data/####/HasStarted
- /data/data/####/OfJbkLdFbPOMbGyP.xml
- /data/data/####/USD.beginSecond
- /data/data/####/USD.meminfo
- /data/data/####/USD.pid
- /data/data/####/USD.ps
- /data/data/####/USD.time
- /data/data/####/USD.uptime
- /data/data/####/UTMCBase.xml
- /data/data/####/UTMCConf-701169024.xml
- /data/data/####/UTMCLog-701169024.xml
- /data/data/####/ZGlzY292ZXJfdGFiX2JlYW4=
- /data/data/####/a
- /data/data/####/app_setting_prefs.xml
- /data/data/####/app_usages.txt
- /data/data/####/app_usages_cache.txt
- /data/data/####/b2cb058d-6f2f-47f1-9f18-a4a3d6fe92b0_0.tp
- /data/data/####/bao_download.db-journal
- /data/data/####/config_1.xml
- /data/data/####/coni_io_356507059351895.xml
- /data/data/####/crash
- /data/data/####/crashbg
- /data/data/####/crashstats.ini
- /data/data/####/d4862769-130e-47eb-bc2e-abbe9c1d1a08_0.tp
- /data/data/####/db_d.db-journal
- /data/data/####/db_downloader-journal
- /data/data/####/dd2d751a-06f6-49cc-8ebf-86d1531d8ae9_0.tp
- /data/data/####/downloader_pref.xml
- /data/data/####/f20Ve4DD
- /data/data/####/f6443545-7b5c-43b6-91a0-0047bc808c91_0.tp
- /data/data/####/fcut_appInfo_pre.xml
- /data/data/####/fcut_conf_pre.xml
- /data/data/####/i.xml
- /data/data/####/i_fac_pre356507059351895.xml
- /data/data/####/i_finfo_pre356507059351895.xml
- /data/data/####/i_fionf_pre356507059351895.xml
- /data/data/####/iappInfo_io_356507059351895.xml
- /data/data/####/iinfo_io_356507059351895.xml
- /data/data/####/itrategy_io_356507059351895.xml
- /data/data/####/last_known_location.xml
- /data/data/####/permission.json
- /data/data/####/plugin_info
- /data/data/####/pp.plugin.floatwindow_internal.apk
- /data/data/####/pp.plugin.lucky.apk
- /data/data/####/pp.plugin.lucky.apk_1.1_3.apk.tp
- /data/data/####/pp_db_2-journal
- /data/data/####/pp_http_db-journal
- /data/data/####/release.ini
- /data/data/####/share_data.xml
- /data/data/####/unique
- /data/data/####/ybappInfo_pre.xml
- /data/data/####/ybconf_pre.xml
- /data/data/####/ybinfo_pre.xml
- /data/data/####/ybtrategy_pre.xml
- /data/media/####/2109eb54e9c16a724cea11e9ec4a6054.0
- /data/media/####/2336e88f31499a9b35fc0530951c4055.0
- /data/media/####/32143f9c8b2231e89017c08246b9ee2d.0
- /data/media/####/4c40822477be9c5d641761526385ea51.0
- /data/media/####/51c129557e48297233f3e04b3a30f349.0
- /data/media/####/6465e9795db89e62d5e6971bfb50f083.0
- /data/media/####/713cfa5b7c91cb3e2b63394ae8eea59f.0
- /data/media/####/9b96e1e41bd28d1f6697b11e8f4b3c06.0
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/ProfileData
- /data/media/####/a0d8b854e6730fc3e5ff212443d74bc4.0
- /data/media/####/ac8b460ef9b8fb21200e060910b9a45b.0
- /data/media/####/b4d1f68ccc357e10824d63061297d53c.0
- /data/media/####/b880c061d8fe346ce1e45ccc22a65448.0
- /data/media/####/c3c318fba03f7a6806d230faa2a7ca56.0
- /data/media/####/cbbb19bc08fcdb37846207b44b71be66.t
- /data/media/####/cbf37766efb0ecbef9049a59effc4bfb.0
- /data/media/####/f46baa50eeebb6835ee915809260f63d.0
- /data/media/####/f546f0f6b802722f8c0e46dd53a60bd6.0
- /data/media/####/gifnoc.ini
- /data/media/####/journal
- /data/media/####/journal.1
- /data/media/####/journal.tmp
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/amodel/a com.android.browser/com.android.browser.BrowserActivity 0 <Package Folder>/amodel <Package Folder> http://sjzs-api.25pp.com/api/uninstall?content=aW1laT0zNTY1MDcwNTkzNTE4OTVgbW9kZWw9R1QtSTgxOTBgdWlkPWJiNjEyZTY3MDA5MjBkZWI5NDY0MmY1YmQzZjU1NjFlYHV1aWQ9ZGVmYXVsdGByb209MThgdmVyPTUuNy4xYGNoPVBNXzMxYGFjdGlvbj11bmluc3RhbGxgcHJvZHVjdGlkPTIwMDFgcmVzb2x1dGlvbj02MDAqNzUyYGluc3RhbGx0aW1lPTIwMjAtMDgtMDMgMjA6NTI6MzY= null
- chmod 775 <Package Folder>/amodel/a
- ps
- sh
- sh <Package Folder>/amodel/a com.android.browser/com.android.browser.BrowserActivity 0 <Package Folder>/amodel <Package Folder> http://sjzs-api.25pp.com/api/uninstall?content=aW1laT0zNTY1MDcwNTkzNTE4OTVgbW9kZWw9R1QtSTgxOTBgdWlkPWJiNjEyZTY3MDA5MjBkZWI5NDY0MmY1YmQzZjU1NjFlYHV1aWQ9ZGVmYXVsdGByb209MThgdmVyPTUuNy4xYGNoPVBNXzMxYGFjdGlvbj11bmluc3RhbGxgcHJvZHVjdGlkPTIwMDFgcmVzb2x1dGlvbj02MDAqNzUyYGluc3RhbGx0aW1lPTIwMjAtMDgtMDMgMjA6NTI6MzY= null
Загружает динамические библиотеки:
- libcrashsdk
- pppmtools
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- AES-ECB-ZeroBytePadding
- RSA
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- DES
Осуществляет доступ к приватному интерфейсу ITelephony.
Содержит функциональность для автоматической отправки SMS.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Управляет Wi-Fi-подключением.
