Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.348.origin
- Android.DownLoader.455.origin
- Android.DownLoader.698.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) na61-na####.wagbr####.adverti####.####.com:80
- TCP(HTTP/1.1) na61-####.wagbr####.ali####.####.com:80
- TCP(HTTP/1.1) err.ta####.com:80
- TCP(HTTP/1.1) f.you####.com:80
- TCP(HTTP/1.1) na61-####.wagbr####.adverti####.####.com:80
- TCP(HTTP/1.1) a####.m.ta####.com:80
- TCP(HTTP/1.1) res####.a####.com:80
- TCP(TLS/1.0) na61-####.wagbr####.adverti####.####.com:443
- TCP(TLS/1.0) a.i####.pp.cn:443
- TCP(TLS/1.0) android####.2####.com:443
- TCP(TLS/1.0) err.ta####.com:443
- TCP k1.yo####.com:7801
- TCP p3.i####.com:7803
- TCP k1.yo####.com:7802
- TCP f.you####.com:7802
Запросы DNS:
- a####.m.ta####.com
- a.i####.pp.cn
- android####.2####.com
- android####.2####.com
- api####.a####.com
- e####.ta####.com
- err.ta####.com
- f.you####.com
- h####.ali####.com
- k1.yo####.com
- l####.cs.pp.cn
- p####.cs.pp.cn
- p1.i####.com
- p2.i####.com
- p3.i####.com
- res####.a####.com
- s1.u####.com
- sjzs####.2####.com
Запросы HTTP GET:
- err.ta####.com/error2.html
- f.you####.com/cdn?id=####
Запросы HTTP POST:
- a####.m.ta####.com/rest/gc?ak=####&av=####&c=####&v=####&s=####&d=####&s...
- a####.m.ta####.com/rest/sur?ak=####&av=####&c=####&v=####&s=####&d=####&...
- na61-####.wagbr####.adverti####.####.com/api/client.plugin.sync
- na61-####.wagbr####.adverti####.####.com/api/combine
- na61-####.wagbr####.adverti####.####.com/api/log.getSecurityId
- na61-####.wagbr####.adverti####.####.com/api/log.setPromoter
- na61-####.wagbr####.adverti####.####.com/api/op.ad.getAds
- na61-####.wagbr####.adverti####.####.com/api/op.ad.getAdses
- na61-####.wagbr####.adverti####.####.com/api/op.config.getSplashScreenCo...
- na61-####.wagbr####.adverti####.####.com/api/op.config.list
- na61-####.wagbr####.adverti####.####.com/api/op.rec.app.getHotApps
- na61-####.wagbr####.adverti####.####.com/api/op.task.getLatestAvailableA...
- na61-####.wagbr####.adverti####.####.com/api/resource.app.checkUpdateV1
- na61-####.wagbr####.adverti####.####.com/api/resource.gift.getInstalledG...
- na61-####.wagbr####.ali####.####.com/utdid_pp_helper/get_aid/?auth[token...
- na61-na####.wagbr####.adverti####.####.com/api/log.upload
- na61-na####.wagbr####.adverti####.####.com/api/puid.getId
- res####.a####.com/v3/fastconnect?
- res####.a####.com/v3/log/init
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/230OOp11
- /data/data/####/Alvin2.xml
- /data/data/####/AppStore.xml
- /data/data/####/ContextData.xml
- /data/data/####/OfJbkLdFbPOMbGyP.xml
- /data/data/####/OfJbkLdFbPOMbGyP.xml (deleted)
- /data/data/####/UTMCBase.xml
- /data/data/####/UTMCConf-128386873.xml
- /data/data/####/UTMCLog-128386873.xml
- /data/data/####/a
- /data/data/####/app_setting_prefs.xml
- /data/data/####/busybox
- /data/data/####/config_1.xml
- /data/data/####/db_downloader-journal
- /data/data/####/downloader_pref.xml
- /data/data/####/f20Ve4DD
- /data/data/####/fcut_appInfo_pre.xml
- /data/data/####/fcut_conf_pre.xml
- /data/data/####/last_known_location.xml
- /data/data/####/plugin_info
- /data/data/####/po_download.db-journal
- /data/data/####/pp.plugin.floatwindow_internal.apk
- /data/data/####/pp.plugin.lucky.apk
- /data/data/####/pp.plugin.lucky.apk_1.1_3.apk.tp
- /data/data/####/pp_db_2-journal
- /data/data/####/pp_http_db-journal
- /data/data/####/release.ini
- /data/data/####/share_data.xml
- /data/data/####/ybappInfo_pre.xml
- /data/data/####/ybconf_pre.xml
- /data/data/####/yo_fac_pre.xml
- /data/data/####/yo_fconf_pre.xml
- /data/data/####/yo_finfo_pre.xml
- /data/data/####/yoappInfo_pre.xml
- /data/data/####/yoappInfo_pre.xml.bak (deleted)
- /data/data/####/yoconf_pre.xml
- /data/data/####/yop_download.db-journal
- /data/data/####/yotrategy_pre.xml
- /data/media/####/0c562922c0add2e3203ec0d399fbcfa2.0
- /data/media/####/1302886ce6890ddc63bccb6588962a38.0
- /data/media/####/1599252392307u.jar
- /data/media/####/1599252392776q.jar
- /data/media/####/1599252393405u.jar
- /data/media/####/1599252397509b.jar
- /data/media/####/19b25b7d2fa6d073a40e8c1762355644.0
- /data/media/####/1b8dd4201d445b2aa72f41c7171af21e.0
- /data/media/####/2e3b24a1cb98e1bcb7e26f973c006f4c.0
- /data/media/####/37b6801c890f2f6f69dc4ff892a4e95c.0
- /data/media/####/527deb51b4512f0bd545e2948db4d0a9.0
- /data/media/####/72b89d910f6493b411723a7493b99eaf.0
- /data/media/####/77c35c2ed8f8ac5e0e0715a84918965c.0
- /data/media/####/84a78b598798c292a384f3d589e31887.0
- /data/media/####/8d21273444c38c639014019a663a7bd7.0
- /data/media/####/8d691aa255f04eece0303912b30e652c.0
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/ProfileData
- /data/media/####/a2658d11ab82cc0c59d1627c44755192.0
- /data/media/####/a4ed6d1b883d4f3069bb124b5692e605.0
- /data/media/####/a815c05cf3cb65a6fb64d2a1412e23d1.0
- /data/media/####/b3d36b435200ba8cba0c6771c49d052b.0
- /data/media/####/bbedc09f2846c9f1cbe55180739af07a.0
- /data/media/####/c6934cda9ba616109ec12fc1f65d5fb0.0
- /data/media/####/cd98ec4c0db0410e8d7ffbabc1255af1.0
- /data/media/####/eabc27c10c77333c20a855f2994e2933.0
- /data/media/####/ed14bb9ad9e9ea0eb395954a266d333c.0
- /data/media/####/f730f22c1915ffc6fd6e5419ea7399fd.t
- /data/media/####/gifnoc.ini
- /data/media/####/journal
- /data/media/####/journal.1
- /data/media/####/journal.tmp
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/amodel/a com.android.browser/com.android.browser.BrowserActivity 0 <Package Folder>/amodel <Package Folder> http://sjzs-api.25pp.com/api/uninstall?content=aW1laT0zNTY1MDcwNTkzNTE4OTVgbW9kZWw9R1QtSTgxOTBgdWlkPWQwODBkM2EzN2IwYmU3YmM3YzE1YzBhNWFjNzZiYzY0YHV1aWQ9ZGVmYXVsdGByb209MThgdmVyPTYuMS4yYGNoPVBNXzMxYGFjdGlvbj11bmluc3RhbGxgcHJvZHVjdGlkPTIwMDFgcmVzb2x1dGlvbj02MDAqNzUyYGluc3RhbGx0aW1lPTIwMjAtMDktMDQgMjM6NDY6Mjc= null
- chmod 755 <Package Folder>/files/busybox
- chmod 775 <Package Folder>/amodel/a
- grep <Package Folder>/amodel/a
- sh
- sh <Package Folder>/amodel/a com.android.browser/com.android.browser.BrowserActivity 0 <Package Folder>/amodel <Package Folder> http://sjzs-api.25pp.com/api/uninstall?content=aW1laT0zNTY1MDcwNTkzNTE4OTVgbW9kZWw9R1QtSTgxOTBgdWlkPWQwODBkM2EzN2IwYmU3YmM3YzE1YzBhNWFjNzZiYzY0YHV1aWQ9ZGVmYXVsdGByb209MThgdmVyPTYuMS4yYGNoPVBNXzMxYGFjdGlvbj11bmluc3RhbGxgcHJvZHVjdGlkPTIwMDFgcmVzb2x1dGlvbj02MDAqNzUyYGluc3RhbGx0aW1lPTIwMjAtMDktMDQgMjM6NDY6Mjc= null
Загружает динамические библиотеки:
- pppmtools
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- AES-ECB-ZeroBytePadding
- RSA
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Содержит функциональность для автоматической отправки SMS.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Управляет Wi-Fi-подключением.
