Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Triada.337.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) mb####.i####.com:80
- TCP(HTTP/1.1) p####.api.i####.com:80
- TCP(HTTP/1.1) st####.q####.com:80
- TCP(HTTP/1.1) i####.com.edg####.net:80
- TCP(HTTP/1.1) i####.i####.com:80
- TCP(HTTP/1.1) wap####.b####.com:80
- TCP(HTTP/1.1) iqiy####.com.edg####.net:80
- TCP(HTTP/1.1) d####.v####.q####.com:80
- TCP(TLS/1.0) 1####.217.17.42:443
- TCP(TLS/1.2) 1####.217.17.42:443
- TCP(TLS/1.2) 1####.217.17.35:443
- TCP(TLS/1.2) 1####.217.168.206:443
Запросы DNS:
- api.tui####.b####.com
- cloud####.i####.com
- d####.v####.q####.com
- i####.i####.com
- if####.i####.com
- m####.71.am
- m####.go####.com
- m.i####.com
- mb####.i####.com
- p####.api.i####.com
- p####.iqiy####.com
- s####.i####.cn
- s####.i####.cn.####.8
- st####.q####.com
- wap####.b####.com
Запросы HTTP GET:
- d####.v####.q####.com/v.f4v
- i####.com.edg####.net/fusion/3.0/fusion_switch?content=####&app_k=####&d...
- i####.com.edg####.net/fusion/3.0/plugin?plugins=####&app_k=####&dev_os=#...
- i####.com.edg####.net/video/3.0/v_codec?platform=####&model=####&cpufami...
- i####.com.edg####.net/video/3.0/v_config?pps=####&cupid_uid=####&secure_...
- i####.com.edg####.net/views/3.0/home_top_menu?lang=####&app_lm=####&app_...
- i####.i####.com/api/initLogin?id=####&key=####&version=####&os=####&ua=#...
- i####.i####.com/api/ip2area?key=####&device_id=####&network=####&ua=####...
- iqiy####.com.edg####.net/1/20140521/cdfcc4330d434748a87802c1a0f4cca8.png
- mb####.i####.com/g?aqyid=####&st=####&s=####&po=####&tt=####&crshid=####...
- p####.api.i####.com/config/fetch?platform=####&brand=####
- st####.q####.com/ext/cupid/common/sdkconfig.xml
- wap####.b####.com/static/appsapi/conf/config.txt?cdnversion=####&app_ver...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/138a072b26cc7e69d16ffdad8a1875d7.xml
- /data/data/####/1611968101444
- /data/data/####/1611968114325
- /data/data/####/1edada2baf1e611a0e69578c18ba9da5
- /data/data/####/2d1658edb475c7a82d51a3d092613aea
- /data/data/####/41920395d44066bee6daba97c07e8431
- /data/data/####/74afcebab97df7acecead2032c198a9d
- /data/data/####/ALL_PLUGIN_ID_LIST.xml
- /data/data/####/ALL_PLUGIN_PARAS_NET_JSON.xml
- /data/data/####/C95nGaVifLYpbITv
- /data/data/####/DISCOVERY_MENU
- /data/data/####/GkPHgxeyvxElDaFqSOOpNA==
- /data/data/####/KEY_AD_TIMES.xml
- /data/data/####/KEY_STARTED_TIMES.xml
- /data/data/####/PSSharePreference.xml
- /data/data/####/Q_HGP_E2eGVYxZGs.dex
- /data/data/####/Q_HGP_E2eGVYxZGs.dex.flock (deleted)
- /data/data/####/Q_HGP_E2eGVYxZGs.zip
- /data/data/####/R35j5rz_OxwwvdfwqwyiaF4v8n0=
- /data/data/####/SpdzzPCCeEoEEfug8AIGMRM6swg5uex5-tw1Ng==
- /data/data/####/YAzdaQ6UfQmaRxTy_-7juVVY21yZkJKH4jhwHhkk01EF7uq...==.xml
- /data/data/####/YAzdaQ6UfQmaRxTy_-7juVVY21yZkJKH4jhwHhkk01EF7uq...ml.bak
- /data/data/####/YAzdaQ6UfQmaRxTy_-qHyRPBLEWtxU1_iDmqahYDHY1I=.xml
- /data/data/####/YAzdaQ6UfQmaRxTy_-uzEmJiNRVM4c4ctIw4rE4IwVPsMcm...==.xml
- /data/data/####/YAzdaQ6UfQmaRxTy_2ASjmpS_tHbW0P8tq8dlCA==-journal
- /data/data/####/YAzdaQ6UfQmaRxTy_7-prm-CHsUJq2SEO-journal
- /data/data/####/YAzdaQ6UfQmaRxTy_90Pes3n3CkjXt19G1Fa2IA==-journal
- /data/data/####/YAzdaQ6UfQmaRxTy_9xTIq8P1SoW9OxHp75wr8VIIUWQ=-journal
- /data/data/####/YAzdaQ6UfQmaRxTy_G4cRe7nqVIS5-aSj-journal
- /data/data/####/YAzdaQ6UfQmaRxTy_Hy9pQMtpGzfmy0EuHnsF8A==.xml
- /data/data/####/YAzdaQ6UfQmaRxTy_KVeFN_W1U5xCct3e-journal
- /data/data/####/YAzdaQ6UfQmaRxTy_KwJBPI2AFs9jKGcJ.xml
- /data/data/####/YAzdaQ6UfQmaRxTy_SHtoi3rymdNHPAGDy97eWUrXaUo=.xml
- /data/data/####/YAzdaQ6UfQmaRxTy_Xt8qR4zgX4th6fyU8caon0z_xKfe9R...==.xml
- /data/data/####/YAzdaQ6UfQmaRxTy_ad_smart_rc_rundata.prefs.xml
- /data/data/####/YAzdaQ6UfQmaRxTy_ad_smart_sr_rundata.prefs.xml
- /data/data/####/YAzdaQ6UfQmaRxTy_ad_smart_ssp_rundata.prefs.xml
- /data/data/####/YAzdaQ6UfQmaRxTy_ad_smart_strip_rundata.prefs.xml
- /data/data/####/YAzdaQ6UfQmaRxTy_cqFWbM37rmTd88NYDblaZDZzywY=.xml
- /data/data/####/YAzdaQ6UfQmaRxTy_isVq_G8es8pRMPmBeRFZ8OzryRw=-journal
- /data/data/####/YAzdaQ6UfQmaRxTy_izZVhTdmMvWXwLuM_GZufFiNC2LNCQST.xml
- /data/data/####/YAzdaQ6UfQmaRxTy_izZVhTdmMvWXwLuM_GZufFiNC2LNCQST.xml.bak
- /data/data/####/YAzdaQ6UfQmaRxTy_j7Bs1UFpyoUs4I3FnsK2DNrwNR6HVu5b.xml
- /data/data/####/YAzdaQ6UfQmaRxTy_rrqSLhuF3qs3e2gV__O11g==-journal
- /data/data/####/YAzdaQ6UfQmaRxTy_w-BYKwE1BDyN72miyh3NCNof8Bk=.xml
- /data/data/####/__Baidu_Stat_SDK_SendRem.xml
- /data/data/####/__Baidu_Stat_SDK_SendRem.xml.bak
- /data/data/####/__local_ap_info_cache.json
- /data/data/####/__local_last_session.json
- /data/data/####/__local_stat_cache.json
- /data/data/####/android.app.fw.apk
- /data/data/####/android.app.fw.xml
- /data/data/####/autoinstall.xml
- /data/data/####/bindcache.xml
- /data/data/####/c316bdf7e11b66f9a45a74dab98f774c
- /data/data/####/cn.com.mma.mobile.tracking.other.xml
- /data/data/####/cn.com.mma.mobile.tracking.sdkconfig.xml
- /data/data/####/com.iqiyi.ishow.apk
- /data/data/####/com.iqiyi.ishow.xml
- /data/data/####/com.iqiyi.paopao.apk
- /data/data/####/com.iqiyi.paopao.dex
- /data/data/####/com.iqiyi.paopao.dex.flock (deleted)
- /data/data/####/com.iqiyi.paopao.xml
- /data/data/####/com.iqiyi.share.apk
- /data/data/####/com.iqiyi.share.sdk.videoedit.apk
- /data/data/####/com.iqiyi.share.sdk.videoedit.xml
- /data/data/####/com.iqiyi.share.xml
- /data/data/####/com.qiyi.gamecenter.apk
- /data/data/####/com.qiyi.gamecenter.xml
- /data/data/####/com.qiyi.gamecenter.xml.bak
- /data/data/####/com.qiyi.module.plugin.ppq.apk
- /data/data/####/com.qiyi.module.plugin.ppq.xml
- /data/data/####/com.qiyi.module.voice.apk
- /data/data/####/com.qiyi.module.voice.xml
- /data/data/####/com.qiyi.plugin.qimo.apk
- /data/data/####/com.qiyi.plugin.qimo.xml
- /data/data/####/com.qiyi.plugin.wallet.apk
- /data/data/####/com.qiyi.plugin.wallet.xml
- /data/data/####/com.qiyi.routerplugin.apk
- /data/data/####/com.qiyi.routerplugin.xml
- /data/data/####/com.qiyi.video.push_sync.xml
- /data/data/####/com.qiyi.video.reader.apk
- /data/data/####/com.qiyi.video.reader.xml
- /data/data/####/data.dat.tmp
- /data/data/####/db_file_download-journal
- /data/data/####/default_sharePreference.xml
- /data/data/####/deliver.db-journal
- /data/data/####/f5afcbb0fab5ee3ddc5da37a7d048437
- /data/data/####/gOph_SiGRqTlAP1T
- /data/data/####/gOph_SiGRqTlAP1T.lk
- /data/data/####/h01t4UjxWcmAULZlLB2rzWP_w4A=
- /data/data/####/hrxceq.dex
- /data/data/####/hrxceq.dex.flock (deleted)
- /data/data/####/hrxceq.zip
- /data/data/####/http_cache_record.xml
- /data/data/####/http_cache_record.xml.bak
- /data/data/####/http_cache_record.xml.bak (deleted)
- /data/data/####/joABaue4GSYqhB92bnWMVyWSvdQ2owii
- /data/data/####/launch_sharePreference.xml
- /data/data/####/lct.xml
- /data/data/####/libblur.so
- /data/data/####/libcuid.so
- /data/data/####/libframefilter.so
- /data/data/####/libgpufilter.so
- /data/data/####/libpl_droidsonroids_gif.so
- /data/data/####/libppqvideoeditor_neon43.so
- /data/data/####/mAPP.xml
- /data/data/####/mAPP.xml.bak
- /data/data/####/nyI400XgWuaWNcbmNqe20A==
- /data/data/####/observ.o
- /data/data/####/org.qiyi.android.tickets.apk
- /data/data/####/org.qiyi.android.tickets.xml
- /data/data/####/org.qiyi.videotransfer.apk
- /data/data/####/org.qiyi.videotransfer.xml
- /data/data/####/pic1.iqiyipic.com_1_20140521_cdfcc4330d434748a8...ix_pic
- /data/data/####/pluginapp.xml
- /data/data/####/proc_auxv
- /data/data/####/pst.xml
- /data/data/####/push.json
- /data/data/####/push.md5
- /data/data/####/qyvideo.db-journal
- /data/data/####/sapi_system.xml
- /data/data/####/sapi_system.xml.bak
- /data/data/####/song_download.xml
- /data/data/####/ssO_xviXgpwET9jDul-wAQ==
- /data/data/####/tv.pps.appstore.apk
- /data/data/####/tv.pps.appstore.xml
- /data/data/####/tv.pps.bi.biplugin.apk
- /data/data/####/tv.pps.bi.biplugin.xml
- /data/data/####/vvtracker.db-journal
- /data/data/####/xDp8qMux7Wdl6I0KUFaZqw==
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/bin/dex2oat --runtime-arg -classpath --runtime-arg & --instruction-set=x86 --instruction-set-features=smp,ssse3,sse4.1,sse4.2,-avx,-avx2,-lock_add,popcnt --runtime-arg -Xrelocate --boot-image=/system/framework/boot.art --runtime-arg -Xms64m --runtime-arg -Xmx512m --instruction-set-variant=x86 --instruction-set-features=default --dex-file=/data/user/0/<Package>/app_pluginapp/com.iqiyi.paopao.apk --oat-fd=35 --oat-location=/data/user/0/<Package>/app_pluginapp/com.iqiyi.paopao/com.iqiyi.paopao.dex --compiler-filter=speed
- /system/bin/dex2oat --runtime-arg -classpath --runtime-arg & --instruction-set=x86 --instruction-set-features=smp,ssse3,sse4.1,sse4.2,-avx,-avx2,-lock_add,popcnt --runtime-arg -Xrelocate --boot-image=/system/framework/boot.art --runtime-arg -Xms64m --runtime-arg -Xmx512m --instruction-set-variant=x86 --instruction-set-features=default --dex-file=/data/user/0/<Package>/files/2sFAIPkwwMo=/4SuXdKU_6Fno7FgVcNXq7w==/Q_HGP_E2eGVYxZGs.zip --oat-fd=65 --oat-location=/data/user/0/<Package>/files/2sFAIPkwwMo=/4SuXdKU_6Fno7FgVcNXq7w==/Q_HGP_E2eGVYxZGs.dex --compiler-filter=speed
- /system/bin/dex2oat --runtime-arg -classpath --runtime-arg & --instruction-set=x86 --instruction-set-features=smp,ssse3,sse4.1,sse4.2,-avx,-avx2,-lock_add,popcnt --runtime-arg -Xrelocate --boot-image=/system/framework/boot.art --runtime-arg -Xms64m --runtime-arg -Xmx512m --instruction-set-variant=x86 --instruction-set-features=default --dex-file=/data/user/0/<Package>/files/hrxceq_d/hrxceq.zip --oat-fd=56 --oat-location=/data/user/0/<Package>/files/hrxceq_d/hrxceq.dex --compiler-filter=speed
- /system/lib/arm/houdini ./gOph_SiGRqTlAP1T ./gOph_SiGRqTlAP1T com.youku.hd.ci
- /system/lib/arm/houdini ./gOph_SiGRqTlAP1T gOph_SiGRqTlAP1T com.youku.hd.ci
- /system/lib/arm/houdini <Package Folder>/lib/libuninstall.so <Package Folder>/lib/libuninstall.so http://partner.vip.qiyi.com/mobact/feedback/feedback/feedback.html?deviceId=<IMEI>&version=7.3&key=591a3d5e95c34d3f4e2373d2df3fd506&ua=SM-T555 http://mbdlog.iqiyi.com/g?aqyid=<IMEI>_4aa72613deabcac2_02Z00Z00Z00Z00Z00&st=&s=&po=&tt=&crshid=&rbb=&ppid=&restype=&crshmsg=&net=&v=7.3&t=3&p=GPhone&ua=SM-T555&ov=7.1.2&k=591a3d5e95c34d3f4e2373d2df3fd506&qyid=<IMEI>&d=&tvid=&qt=&sdkt=&dt= mbdlog.iqiyi.com /data/user/0/<Package>/files/observ.o <Package Folder>/libuninstall.o <Package Folder>/lib/ 25
- app_process /system/bin com.android.commands.am.Am broadcast -a com.youku.hd.ci --es start_bc_send_id com.uu.action.wakeup --include-stopped-packages --user 0
- cat /proc/cpuinfo
- ls -l /system/bin/su
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- DES-CBC-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS5Padding
- DES
- DES-CBC-PKCS5Padding
- PBEWithSHAAnd3-KeyTripleDES-CBC
Осуществляет доступ к приватному интерфейсу ITelephony.
Содержит функциональность для автоматической отправки SMS.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
