Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.291.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) sw####.z####.com.cn:8080
- TCP(HTTP/1.1) 1####.159.18.80:8001
- TCP(HTTP/1.1) www.a.sh####.com:80
- TCP(HTTP/1.1) 2####.111.8.140:8080
- TCP(HTTP/1.1) 1####.89.97.82:8000
- TCP(HTTP/1.1) 1####.159.18.80:8000
- UDP(NTP) 1.cn.p####.####.org:123
- TCP(TLS/1.0) av1.x####.com:443
- TCP(TLS/1.0) a####.v####.com.cn:443
- TCP(TLS/1.0) st-onli####.v####.com.####.com:443
- TCP(TLS/1.0) c####.x####.com:443
- TCP(TLS/1.0) ssp.v####.com.cn:443
- TCP sd####.cm####.com:80
Запросы DNS:
- 1.cn.p####.####.org
- a####.v####.com.cn
- av1.x####.com
- c####.x####.com
- i####.cn
- pg.x####.com
- sd####.cm####.com
- ssp.v####.com.cn
- st-onli####.v####.com.cn
- sw####.z####.com.cn
- www.b####.com
Запросы HTTP GET:
- sw####.z####.com.cn:8080/SG_Frontend/Query?gid=####&vid=####&ch=####&icc...
- sw####.z####.com.cn:8080/SG_Frontend/gameNofity
- www.a.sh####.com/
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/TDCloudSettingsConfig84E6108306034BB7A16BC23F2F96BF1A.xml
- /data/data/####/TD_app_pefercen_profile.xml
- /data/data/####/TDpref_longtime.xml
- /data/data/####/TDpref_shorttime.xml
- /data/data/####/TDtcagent.db
- /data/data/####/TDtcagent.db-journal
- /data/data/####/VivoOpenAdSDK.xml
- /data/data/####/b.gif
- /data/data/####/b.jar
- /data/data/####/b.jar.temp
- /data/data/####/b.jpg
- /data/data/####/b.jpg.temp
- /data/data/####/b.jpg.temp (deleted)
- /data/data/####/com.sg.atmrxyx.vivo_preferences.xml
- /data/data/####/ddai300_ds.jar
- /data/data/####/ddai300_s_p287.dat
- /data/data/####/ddai_ad300_hotcfg.xml
- /data/data/####/multidex.version.xml
- /data/data/####/prefs_vivounionsdk.xml
- /data/data/####/sg.dex
- /data/data/####/sg_game.dex
- /data/data/####/talkingdata_app.db-journal
- /data/data/####/talkingdata_app_process_preferences_file
- /data/data/####/talkingdata_app_version_preferences_file
- /data/data/####/td.lock
- /data/data/####/tdid.xml
- /data/data/####/tdlock.txt
- /data/data/####/vivo_lib_version.xml
- /data/data/####/vivoopenadsdk.db
- /data/data/####/vivoopenadsdk.db-journal
- /data/data/####/vivounionsdk.res
- /data/media/####/.tcookieid
Другие:
Запускает следующие shell-скрипты:
- chmod 777 <Package Folder>/files/b.jar
- su
- which su
Загружает динамические библиотеки:
- gdx
- vivo_account_sdk
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- DES-ECB-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
Использует повышенные привилегии.
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
