Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.342.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) api.ph####.com:80
- TCP(TLS/1.0) ssl.google-####.com:443
- TCP(TLS/1.0) 1####.217.17.78:443
Запросы DNS:
- api.ph####.com
- ssl.google-####.com
- us.auk####.com
- uu.auk####.com
Запросы HTTP GET:
- api.ph####.com/api/open/popular?userId=####&userApi=####&offset=####&cou...
- api.ph####.com/imagestore/533ab76fcb85778709000181/thumb.square/267/
- api.ph####.com/imagestore/533d09b8cb85776e440000b0/thumb.square/267/
- api.ph####.com/imagestore/53401172cb8577535100023b/thumb.square/267/
- api.ph####.com/imagestore/534011c6cb8577241a000086/thumb.square/267/
- api.ph####.com/imagestore/534012eacb8577655200017a/thumb.square/267/
- api.ph####.com/imagestore/5343e457cb857707170001ab/thumb.square/267/
- api.ph####.com/imagestore/5343e4f9cb8577ce19000190/thumb.square/267/
- api.ph####.com/imagestore/5344d62acb857740280001cb/thumb.square/267/
- api.ph####.com/imagestore/5359e5bacb8577944b000225/thumb.square/267/
- api.ph####.com/imagestore/5360e04fcb8577b208000217/thumb.square/267/
- api.ph####.com/imagestore/5367e201cb8577aa0b000051/thumb.square/267/
- api.ph####.com/imagestore/5367e468cb8577ed08000054/thumb.square/267/
- api.ph####.com/imagestore/553e7721e7e564203f000060/thumb.square/267/
- api.ph####.com/imagestore/554788a3e7e5647025000232/thumb.square/267/
- api.ph####.com/imagestore/5547c6cae7e564617000021b/thumb.square/267/
- api.ph####.com/imagestore/5547c6efe7e5649474000224/thumb.square/267/
- api.ph####.com/imagestore/5547c702e7e564993f000228/thumb.square/267/
- api.ph####.com/imagestore/5548f08ce7e5641240000226/thumb.square/267/
- api.ph####.com/imagestore/5548f0a0e7e5646443000231/thumb.square/267/
- api.ph####.com/imagestore/5548f0b0e7e564bf3f000052/thumb.square/267/
- api.ph####.com/imagestore/55986bf3e7e5645b1a000283/thumb.square/267/
- api.ph####.com/imagestore/55986c00e7e564920200016a/thumb.square/267/
- api.ph####.com/imagestore/55986c13e7e564241700034f/thumb.square/267/
- api.ph####.com/imagestore/55fea93ee7e564b80600011f/thumb.square/267/
- api.ph####.com/imagestore/573a3a65e7e564f92b00022e/thumb.square/267/
- api.ph####.com/imagestore/573b4adde7e564625b00018c/thumb.square/267/
- api.ph####.com/imagestore/573b4ae8e7e564e90b000221/thumb.square/267/
- api.ph####.com/imagestore/5741b610e7e5642f1f000300/thumb.square/267/
- api.ph####.com/imagestore/5741b622e7e564b51a0002b7/thumb.square/267/
- api.ph####.com/imagestore/59c679b8e7e564fd270000f0/thumb.square/267/
- api.ph####.com/imagestore/59c691c8e7e564bb4a0000ff/thumb.square/267/
- api.ph####.com/imagestore/5b52244ae7e5642f1100006c/thumb.square/267/
- api.ph####.com/imagestore/5f4869e2658b6ada23000014/thumb.square/267/
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/06F58916583B270E.xml
- /data/data/####/100AE39C6CDCBD08
- /data/data/####/2386C00D97BA587D.xml
- /data/data/####/4A5C14B41C044B48.xml
- /data/data/####/8453D80169E1E942
- /data/data/####/8B1769AAE848DB40BB69663B46E9D4FB.zip
- /data/data/####/8E92B7708ABD6AE9BB69663B46E9D4FB.zip
- /data/data/####/8FA69D0A3631E474-journal
- /data/data/####/ABEADB
- /data/data/####/ABEADB-journal
- /data/data/####/INSTALLATION
- /data/data/####/XN105we
- /data/data/####/XN105we.zip
- /data/data/####/appPhereoNative.xml
- /data/data/####/appPhereorater.xml
- /data/data/####/bg.9.png
- /data/data/####/change_image.png
- /data/data/####/check_back.png
- /data/data/####/checked_back.png
- /data/data/####/close_btn.jpg
- /data/data/####/close_btn.png
- /data/data/####/com.phereo.settings.global.xml
- /data/data/####/congsmall.png
- /data/data/####/default.png
- /data/data/####/dlsuccess.png
- /data/data/####/download_flag.png
- /data/data/####/downloading.png
- /data/data/####/enter_button.png
- /data/data/####/frameclose.png
- /data/data/####/gaClientId
- /data/data/####/google_analytics_v2.db-journal
- /data/data/####/ic_game.png
- /data/data/####/ic_rec.png
- /data/data/####/icon_bg_cyanew.png
- /data/data/####/icon_bg_cyanok.png
- /data/data/####/item_background.png
- /data/data/####/list_back.png
- /data/data/####/number.png
- /data/data/####/pic.png
- /data/data/####/redflag.9.png
- /data/data/####/smallframe.png
- /data/data/####/smallframe_right.png
- /data/data/####/top.9.png
- /data/media/####/-1174897692.tmp
- /data/media/####/-1374591577.tmp
- /data/media/####/-1470084349.tmp
- /data/media/####/-151805403.tmp
- /data/media/####/-1520036517.tmp
- /data/media/####/-1678765790.tmp
- /data/media/####/-1681860378.tmp
- /data/media/####/-176779997.tmp
- /data/media/####/-1852280196.tmp
- /data/media/####/-1924322790.tmp
- /data/media/####/-1981532935.tmp
- /data/media/####/-254256059.tmp
- /data/media/####/-363341008.tmp
- /data/media/####/-383919109.tmp
- /data/media/####/-426764776.tmp
- /data/media/####/-547788644.tmp
- /data/media/####/-589426754.tmp
- /data/media/####/-597813211.tmp
- /data/media/####/-667438207.tmp
- /data/media/####/-692059037.tmp
- /data/media/####/-716687620.tmp
- /data/media/####/-815054947.tmp
- /data/media/####/.nomedia
- /data/media/####/1074370484.tmp
- /data/media/####/1136447331.tmp
- /data/media/####/1376346949.tmp
- /data/media/####/1516854966.tmp
- /data/media/####/1868981028.tmp
- /data/media/####/1883447258.tmp
- /data/media/####/270258592.tmp
- /data/media/####/305472603.tmp
- /data/media/####/612346018.tmp
- /data/media/####/615678180.tmp
- /data/media/####/890885222.tmp
- /data/media/####/XH.txt
Другие:
Загружает динамические библиотеки:
- dhhuv
Использует следующие алгоритмы для шифрования данных:
- DES
- RSA-ECB-PKCS1Padding
Получает информацию о телефоне (номер, IMEI и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
