Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Click.311.origin
- Android.DownLoader.906.origin
- Android.Mobifun.11.origin
- Android.Mobifun.30.origin
- Android.Triada.4567
- Android.Triada.467.origin
- Android.Triada.537.origin
- Android.Triada.541.origin
- Android.Xiny.293.origin
- Android.Xiny.5386
Загружает из Интернета следующие детектируемые угрозы:
- Android.DownLoader.906.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) bi####.bi####.com:10248
- TCP(HTTP/1.1) 13.2####.16.115:8081
- TCP(HTTP/1.1) api.s####.com:6262
- TCP(HTTP/1.1) log.koapk####.com:80
- TCP(HTTP/1.1) bi####.bi####.com:10238
- TCP(HTTP/1.1) t####.aimoong####.com:80
- TCP(HTTP/1.1) s24.st.all.####.com:80
- TCP(HTTP/1.1) t####.f####.com:80
- TCP(HTTP/1.1) api.applove####.com:80
- TCP(HTTP/1.1) 5.z####.top:80
- TCP(HTTP/1.1) fun.biug####.com:80
- TCP(HTTP/1.1) 47.2####.67.137:80
- TCP(HTTP/1.1) 4.z####.top:9001
- TCP(HTTP/1.1) api.bi####.com:80
- TCP(HTTP/1.1) 45.79.2####.161:80
- TCP(HTTP/1.1) ks####.3q####.com:12038
- TCP(HTTP/1.1) y####.k8####.com:80
- TCP(HTTP/1.1) c####.s9####.com:10278
- TCP(HTTP/1.1) dy.kr.wildpet####.info:80
- TCP(HTTP/1.1) c####.6k####.com:10238
- TCP(HTTP/1.1) 1####.104.215.170:80
- TCP(HTTP/1.1) 1####.216.18.240:80
- TCP(HTTP/1.1) p####.pay####.com:80
- TCP(TLS/1.0) c####.pay####.com:443
- TCP(TLS/1.0) datasta####.zhuifen####.top:443
Запросы DNS:
- 4.z####.top
- 5.z####.top
- api.applove####.com
- api.bi####.com
- api.s####.com
- bi####.bi####.com
- c####.6k####.com
- c####.pay####.com
- c####.s9####.com
- datasta####.zhuifen####.top
- dy.kr.wildpet####.info
- fun.biug####.com
- ks####.3q####.com
- log.koapk####.com
- os1.a####.com
- p####.pay####.com
- s.dailyre####.com
- t####.aimoong####.com
- t####.f####.com
- x####.me####.com
- y####.k8####.com
Запросы HTTP GET:
- 5.z####.top/thirdsdk/flowcashpack/11/m06151734.jar
- 5.z####.top/thirdsdk/flowcashpack/52/um08041214.jar
- 5.z####.top/thirdsdk/flowcashpack/56/dh09011637.jar
- api.applove####.com/api/v3/template/get?slot_id=####&update_time=####&us...
- api.s####.com:6262/sdk-logs/sdk-logs-control/logs/control?appId=####&off...
- fun.biug####.com/vip293256.html
- p####.pay####.com/s-r/292/5ee718ce1512e
- s24.st.all.####.com/app/t2/tarot/template2/images/aries (2).png
- s24.st.all.####.com/app/t2/tarot/template2/images/esoteric.svg
- s24.st.all.####.com/app/t2/tarot/template2/images/hearts-pierced-by-an-a...
- s24.st.all.####.com/app/t2/tarot/template2/images/hp.png
- s24.st.all.####.com/app/t2/tarot/template2/images/hpbf.png
- s24.st.all.####.com/app/t2/tarot/template2/images/universe.png
- s24.st.all.####.com/app/t2/tarot/template2/js/jquery-3.3.1.js
- t####.aimoong####.com/index.html?q=####
- t####.aimoong####.com/template2/css/style.css
- t####.aimoong####.com/template2/favicon.png
- t####.aimoong####.com/template2/js/constants.js
- t####.aimoong####.com/template2/js/util.js
- t####.f####.com/conew?u=####&s=####&np=####&gaid=####&imei=####&androidI...
- y####.k8####.com/dtjz/dyreasekk102.zip
- y####.k8####.com/hwyw/daomiwocwxa.zip
- y####.k8####.com/hwyw/stahwsdomj.zip
Запросы HTTP POST:
- 4.z####.top:9001/logreport
- api.bi####.com/un
- bi####.bi####.com:10238/czwwwkpmfl/
- bi####.bi####.com:10238/phvttztyax/
- bi####.bi####.com:10248/iysyxb/
- bi####.bi####.com:10248/ng1fxo/
- bi####.bi####.com:10248/pauumd/
- c####.6k####.com:10238/2ejolc/
- c####.6k####.com:10238/dts57h/
- c####.6k####.com:10238/z2s8gh/
- c####.s9####.com:10278/42elke/
- dy.kr.wildpet####.info/dykr/update
- ks####.3q####.com:12038/neisdop/
- log.koapk####.com/pgm/sr/gm/gy
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.DEVICES
- /data/data/####/.mf
- /data/data/####/.t
- /data/data/####/0E69ACC642289440AC40206EFBC5AB43.xml
- /data/data/####/1.jar
- /data/data/####/3BA0D90077EF9537F69097C837A98729.xml
- /data/data/####/4cfdd9d73f82fa12df3c9a76704cb8de.xml
- /data/data/####/6616f972f9884e301cd740268cfdf343
- /data/data/####/6e5b202c86c842ff9403783cbd2d79fa
- /data/data/####/8C8F552939218D4D55F5ACC7505AE2C6.xml
- /data/data/####/9145E4178974FEAFB084264767F30932.xml
- /data/data/####/967aad3ac0c511ea9799506b4b12c760368a5bca290ca8a...rcache
- /data/data/####/967aad3ac0c511ea9799506b4b12c76093447c31afa0cc0...rcache
- /data/data/####/967aad3ac0c511ea9799506b4b12c760b90b04be5561ceb...rcache
- /data/data/####/D968CA8DC25736B876F977F8EAFEE8B4.xml
- /data/data/####/MobikokCommonConfig.xml
- /data/data/####/MobikokDeviceConfig.xml
- /data/data/####/NDIOSJD.xml
- /data/data/####/ZyM2cqJMkLw.xml
- /data/data/####/_p.xml
- /data/data/####/_sh.xml
- /data/data/####/alcccu
- /data/data/####/aql.xml
- /data/data/####/base.apk
- /data/data/####/com.example.demo_ct_default.xml
- /data/data/####/config2.xml
- /data/data/####/data.dex (deleted)
- /data/data/####/data.jar
- /data/data/####/dynamic_bundle_data.xml
- /data/data/####/egaxoaxu.jar
- /data/data/####/gameid
- /data/data/####/gameid.zip
- /data/data/####/h5sdk2.xml
- /data/data/####/irhctr.jar
- /data/data/####/iuy_data.xml
- /data/data/####/kk_datas_info.xml
- /data/data/####/libjvbc.so
- /data/data/####/libjvbc.so-32
- /data/data/####/libjvbc.so-64
- /data/data/####/libnav-6mdw2z.so
- /data/data/####/libnnc.so
- /data/data/####/lob.xml
- /data/data/####/m2020071317.apk
- /data/data/####/mwkjrq
- /data/data/####/qg.xml
- /data/data/####/s2020071317.apk
- /data/data/####/simple-main-msg.dat
- /data/data/####/simple-main-req.dat
- /data/data/####/sp_arnub.xml
- /data/data/####/sp_casefn.xml
- /data/data/####/temp.zip (deleted)
- /data/data/####/uuid_data.xml
- /data/data/####/ver.ini.xml
- /data/data/####/webview.db-journal
- /data/data/####/wzdb.png
- /data/data/####/yd_config_c.xml
- /data/data/####/zkDa.jar
- /data/media/####/.gb
- /data/media/####/.kkid
- /data/media/####/.lsw
- /data/media/####/.nomedia
- /data/media/####/.uuid
- /data/media/####/1E35218B9AF9C57135B16A4A39BB6F61
- /data/media/####/2582715C_C5F7D7A.txt
- /data/media/####/28815923534D1642B7D80FC2DB7001AC.temp
- /data/media/####/28815923534D1642B7D80FC2DB7001AC.zip
- /data/media/####/90822141D66276AFFD9E13812E262B91
- /data/media/####/Config.txt
- /data/media/####/E36FAB93CB4E285016833DFC4CB2FC55
- /data/media/####/E36FAB93CB4E285016833DFC4CB2FC55.jar
- /data/media/####/E36FAB93CB4E285016833DFC4CB2FC55.temp
- /data/media/####/EA463EE35D35053E84058554191CA8D8
- /data/media/####/EC91560CA356425EB0D9841482766AA1.jar
- /data/media/####/EC91560CA356425EB0D9841482766AA1.temp
- /data/media/####/_pn
- /data/media/####/_shn
- /data/media/####/nvjk
- /data/media/####/xz
Другие:
Запускает следующие shell-скрипты:
- cat /sys/class/net/wlan0/address
- getprop
- getprop ro.yunos.build.version
- ps
- sh
Загружает динамические библиотеки:
- alcccu
- com.healthy
- libjvbc
- libnnc
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- DES
- DES-ECB-PKCS5Padding
- RSA-ECB-PKCS1Padding
- RSA-None-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CFB-NoPadding
- DES
- DES-ECB-PKCS5Padding
- RSA-ECB-PKCS1Padding
- RSA-None-PKCS1Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
