Android.Triada.4808

Техническая информация

Вредоносные функции:

Выполняет код следующих детектируемых угроз:

Android.DownLoader.960.origin
Android.RemoteCode.295.origin
Android.RemoteCode.296.origin
Android.Triada.4567
Android.Triada.467.origin
Android.Triada.510.origin
Android.Triada.541.origin

Детект на основе машинного обучения.

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) s.yf####.com:8088
TCP(HTTP/1.1) 13.2####.16.115:8081
TCP(HTTP/1.1) ks####.3q####.com:12038
TCP(HTTP/1.1) s.yf####.com:8089
TCP(HTTP/1.1) res.wildpet####.info:80
TCP(HTTP/1.1) ac23f54####.cdscd####.com:80
TCP(HTTP/1.1) gd.a.s####.com:80
TCP(HTTP/1.1) 5.z####.top:80
TCP(HTTP/1.1) 1e####.23####.com:12029
TCP(HTTP/1.1) new.faceboo####.com:80
TCP(HTTP/1.1) 4####.33.9.178:80
TCP(HTTP/1.1) w####.xiaoshu####.net:80
TCP(HTTP/1.1) 1e####.23####.com:11027
TCP(HTTP/1.1) api.dc.tkcre####.com:80
TCP(HTTP/1.1) z.c####.com:80
TCP(HTTP/1.1) www.shiyiwe####.com:7005
TCP(HTTP/1.1) d0####.98####.com:10091
TCP(HTTP/1.1) a.biankan####.com:80
TCP(HTTP/1.1) en.f####.top:8080
TCP(HTTP/1.1) cl-5307####.g####.co:80
TCP(HTTP/1.1) dy.kr.wildpet####.info:80
TCP(HTTP/1.1) ks####.3q####.com:12029
TCP(HTTP/1.1) 1e####.23####.com:12038
TCP(HTTP/1.1) 1####.104.215.170:80
TCP(HTTP/1.1) sdk.wildpet####.info:80
TCP(TLS/1.0) tc.airmo####.com:443
TCP(TLS/1.0) pro.qazws####.xyz:443
TCP(TLS/1.0) datasta####.zhuifen####.top:443
TCP 1####.0.6.254:36464

Запросы DNS:

1e####.23####.com
5.z####.top
a.biankan####.com
ad####.lygro####.com
ad.yf####.com
api.dc.tkcre####.com
c####.f####.top
d0####.98####.com
datasta####.zhuifen####.top
dy.kr.wildpet####.info
e####.f####.top
en.f####.top
jz####.mc####.com
ks####.3q####.com
mt####.go####.com
n####.faceboo####.com
new.faceboo####.com
nu####.js####.com
pro.qazws####.xyz
pv.s####.com
r.faceboo####.com
r1.faceboo####.com
res.wildpet####.info
s.yf####.com
sdk.wildpet####.info
tc.airmo####.com
w####.xiaoshu####.net
w0####.iw####.com
www.shiyiwe####.com
z12.c####.com
z6.c####.com

Запросы HTTP GET:

5.z####.top/imgPath/1603715186157.png
5.z####.top/thirdsdk/flowcashpack/11/m06151734.jar
5.z####.top/thirdsdk/flowcashpack/20/al-100-202009231448d.jar
5.z####.top/thirdsdk/flowcashpack/49/h07281410.jar
5.z####.top/thirdsdk/flowcashpack/52/um08041214.jar
5.z####.top/thirdsdk/flowcashpack/67/webshop-112-202010261508d.jar
ac23f54####.cdscd####.com/ph13_02.ttf
ac23f54####.cdscd####.com/ph17_01.ttf
ac23f54####.cdscd####.com/ph2_01.ttf
ac23f54####.cdscd####.com/ph3_01.ttf
ac23f54####.cdscd####.com/ph5_01.ttf
ac23f54####.cdscd####.com/ph7_01.ttf
cl-5307####.g####.co/p1_04.ttf
gd.a.s####.com/cityjson?ie=####
res.wildpet####.info/modules/SmartSearch.zip
res.wildpet####.info/modules/proxy-gl-13-n-u-d.zip
res.wildpet####.info/modules/wap10002.zip
res.wildpet####.info/modules/watchurl_1.zip
w####.xiaoshu####.net/0429/hwlz01.zip
w####.xiaoshu####.net/0815/app-release_2.zip
w####.xiaoshu####.net/adsc/xs_dtjz/ads-d-1151.zip
w####.xiaoshu####.net/dtbx/aiyouxin/it10.zip
w####.xiaoshu####.net/dtbx/junhua/Stoll_v2.zip
w####.xiaoshu####.net/dtbx/liangzong/core-app_jj03-release.zip
w####.xiaoshu####.net/dtbx/liangzong/hwlz02.zip
w####.xiaoshu####.net/dtbx/liangzong/hwlz03.zip
w####.xiaoshu####.net/dtbx/panshi/app-release_0928.zip
w####.xiaoshu####.net/dtbx/xiaoan/app5328903-1.zip
w####.xiaoshu####.net/plugins/app.zip
w####.xiaoshu####.net/plugins/dp2.zip
z.c####.com/stat.htm?id=####&cnzz_eid=####

Запросы HTTP POST:

1e####.23####.com:11027/kd92kx/
1e####.23####.com:11027/mskeww/
1e####.23####.com:12029/hfdlls/
1e####.23####.com:12029/i3v8nb/
1e####.23####.com:12038/iowncjk/
a.biankan####.com/api/v2/task?ts=####&r=####&sign=####&cmd=####
api.dc.tkcre####.com/v1/sdklog
d0####.98####.com:10091/wisdom/marking
dy.kr.wildpet####.info/dykr/sync
dy.kr.wildpet####.info/dykr/update
en.f####.top:8080/qsad/api/c/c
ks####.3q####.com:12029/lfkdnr/
ks####.3q####.com:12038/iowncjk/
ks####.3q####.com:12038/neisdop/
ks####.3q####.com:12038/pwjdaae/
new.faceboo####.com/index.php?r=####
s.yf####.com:8088/ad/s
s.yf####.com:8089/ad/status
sdk.wildpet####.info/SmartSearch/get
www.shiyiwe####.com:7005/advsApi/getNewCfg

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/0437750A541C5BE283568783752E76EF.xml
/data/data/####/4cfdd9d73f82fa12df3c9a76704cb8de.xml
/data/data/####/6616f972f9884e301cd740268cfdf343
/data/data/####/6B59C67F4E3E07A0E22570B1D54BDC87.xml
/data/data/####/6d0f3fa3007411eb9799506b4b12c76007de31e5c0f9f59...rcache
/data/data/####/6d0f3fa3007411eb9799506b4b12c760b90b04be5561ceb...rcache
/data/data/####/6d0f3fa3007411eb9799506b4b12c760cb7e81d3f48b4ff...rcache
/data/data/####/8083FF58735015297E7624C9CFAC3D8C.xml
/data/data/####/967aad3ac0c511ea9799506b4b12c760368a5bca290ca8a...rcache
/data/data/####/967aad3ac0c511ea9799506b4b12c760b90b04be5561ceb...rcache
/data/data/####/967aad3ac0c511ea9799506b4b12c760decc828a4d17546...rcache
/data/data/####/PROXYDATA.xml
/data/data/####/SmartSearch.dex
/data/data/####/SmartSearch.zip
/data/data/####/asa3g5rw.xml
/data/data/####/ase3srw.xml
/data/data/####/awssw2qw.xml
/data/data/####/c14d2ea416cc4f8ae8e1dc95eaa2afe7.xml
/data/data/####/classes.dex
/data/data/####/com.hgrtoz.terdh_preferences.xml
/data/data/####/config.xml
/data/data/####/data.jar
/data/data/####/dc.xml
/data/data/####/dy_live.xml
/data/data/####/eHhkX3Nw.xml
/data/data/####/eXouARwwLA.jar
/data/data/####/gameid
/data/data/####/gameid.zip
/data/data/####/iavi.txt.xml
/data/data/####/librxfx.so
/data/data/####/librxfx.so-32
/data/data/####/librxfx.so-64
/data/data/####/m2019083117.apk
/data/data/####/mp1.tmp
/data/data/####/mph13.tmp
/data/data/####/mph17.tmp
/data/data/####/mph2.tmp
/data/data/####/mph3.tmp
/data/data/####/mph5.tmp
/data/data/####/mph7.tmp
/data/data/####/null_ct_default.xml
/data/data/####/proxy-gl-13-n-u-d.dex
/data/data/####/proxy-gl-13-n-u-d.zip
/data/data/####/rrye.png
/data/data/####/rsfe3es.data-journal
/data/data/####/rsr5des.data-journal
/data/data/####/rsw3es.data-journal
/data/data/####/s2019083117.apk
/data/data/####/simple-other-msg.dat
/data/data/####/simple-other-req.dat
/data/data/####/sp1.jar
/data/data/####/sp_bfjlj.xml
/data/data/####/sp_dojz.xml
/data/data/####/sph13.jar
/data/data/####/sph17.jar
/data/data/####/sph2.jar
/data/data/####/sph3.jar
/data/data/####/sph5.jar
/data/data/####/sph7.jar
/data/data/####/temp.zip (deleted)
/data/data/####/ver.ini.xml
/data/data/####/vfh.xml
/data/data/####/vsggamnu.jar
/data/data/####/wap10002.zip
/data/data/####/watchurl_1.zip
/data/data/####/webview.db-journal
/data/data/####/yd_config_c.xml
/data/media/####/.device
/data/media/####/.nomedia
/data/media/####/.ojt
/data/media/####/.udusid
/data/media/####/.vck
/data/media/####/017DAD90B7E05813A2664C6F0C13F26E
/data/media/####/059a259a9234ba4b388e2577c4a4.temp
/data/media/####/24EF55C1D30FD38AC2F8BA18E094802F
/data/media/####/2D5D9DD3BE95949EBC64805076B2165B
/data/media/####/2D5D9DD3BE95949EBC64805076B2165B.temp
/data/media/####/2D5D9DD3BE95949EBC64805076B2165B.zip
/data/media/####/47AB7209AD7ACF4EB1EA636A3039D803
/data/media/####/4CA4BCA313B4DD38880965566D3CAEE8.temp
/data/media/####/4CA4BCA313B4DD38880965566D3CAEE8.zip
/data/media/####/52FD8F509468C6AD4AFF66771DC0C6F6
/data/media/####/53AB353A2803BA68D712B13E670366DC.temp
/data/media/####/53AB353A2803BA68D712B13E670366DC.zip
/data/media/####/5481EC370B6A702A2E9F48C3B9E037D0
/data/media/####/661CD1D1DB7CDB0508FEA067987A775C.temp
/data/media/####/661CD1D1DB7CDB0508FEA067987A775C.zip
/data/media/####/76DA35E161D779974CB9CBD4F97773D6.temp
/data/media/####/76DA35E161D779974CB9CBD4F97773D6.zip
/data/media/####/90C7C318D2144D053B7F0CB7163D0422.temp
/data/media/####/90C7C318D2144D053B7F0CB7163D0422.zip
/data/media/####/9302250EE836CFE24DE53F3CF78FDBB9
/data/media/####/9EF2E4E9230D151415840F0A01AFEEAC.temp
/data/media/####/9EF2E4E9230D151415840F0A01AFEEAC.zip
/data/media/####/A4E0346CA55FB043CD93B0BD561AA643
/data/media/####/A63A63605D0CD58D9F1EFFF4084012C5
/data/media/####/AE9AF79D2B9D1AF224800B70347A32CD
/data/media/####/BCEBA4D9F59CB396063A3267036442BE.temp
/data/media/####/BCEBA4D9F59CB396063A3267036442BE.zip
/data/media/####/D36F42E66C2FBCA850CD8EC17EEF893F
/data/media/####/D7A439CE8D75DD3A8FB29A3458DA0346.temp
/data/media/####/D7A439CE8D75DD3A8FB29A3458DA0346.zip
/data/media/####/DD4E3A68DC645102AB7BD8A84A81D554
/data/media/####/DE2551ABC7909DC965BAC4D041EB0FB9
/data/media/####/E6F69FEF5EAFB75D8FC23DDBEB91E784.jar
/data/media/####/E6F69FEF5EAFB75D8FC23DDBEB91E784.temp
/data/media/####/F0D5102820BF14B12186E1B978E9B3FF.temp
/data/media/####/F0D5102820BF14B12186E1B978E9B3FF.zip
/data/media/####/FF3D1BA1CA6D9FC6E1932C8F481188A2.jar
/data/media/####/FF3D1BA1CA6D9FC6E1932C8F481188A2.temp
/data/media/####/efju
/data/media/####/lscd

Другие:

Запускает следующие shell-скрипты:

cat /proc/version
cat /sys/class/net/wlan0/address
getprop
getprop ro.board.platform
getprop ro.bootimage.build.date.utc
getprop ro.build.description
getprop ro.build.fingerprint
getprop ro.build.product
getprop ro.build.version.all_codenames
getprop ro.product.cpu.abi
getprop ro.sf.lcd_density
getprop ro.yunos.build.version
ps
sh

Загружает динамические библиотеки:

BookInit
librxfx

Использует следующие алгоритмы для шифрования данных:

AES-CBC-PKCS5Padding
AES-CBC-PKCS7Padding
DES
DES-CBC-PKCS5Padding
RSA-None-PKCS1Padding

Использует следующие алгоритмы для расшифровки данных:

AES
AES-CBC-PKCS5Padding
DES
RSA-None-PKCS1Padding

Осуществляет доступ к приватному интерфейсу ITelephony.

Получает информацию о местоположении.

Получает информацию о сети.

Получает информацию о телефоне (номер, IMEI и т. д.).

Получает информацию об установленных приложениях.

Получает информацию о запущенных приложениях.

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Получает информацию об отправленых/принятых SMS.

Получает информацию о телефонных контактах.

Управляет Wi-Fi-подключением.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней