Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Click.347.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) adc.flyer####.com:80
- TCP(HTTP/1.1) cdn-sto####.unit####.uni####.com:80
- TCP(HTTP/1.1) ip####.io:80
- TCP(HTTP/1.1) cdn-cre####.unit####.uni####.com:80
- TCP(HTTP/1.1) re####.vs####.com:30913
- TCP(HTTP/1.1) sta####.ylg####.net.####.cn:80
- TCP(HTTP/1.1) us.aibi####.com:80
- TCP(TLS/1.0) s.openmed####.com:443
- TCP(TLS/1.0) auc####.unit####.uni####.com:443
- TCP(TLS/1.0) httpk####.unit####.uni####.com:443
- TCP(TLS/1.0) m.adti####.com:443
- TCP(TLS/1.0) im####.xvideos####.com:443
- TCP(TLS/1.0) cdn77####.xvideos####.com:443
- TCP(TLS/1.0) ads-gam####.ads.prd.####.com:443
- TCP(TLS/1.0) instant####.google####.com:443
- TCP(TLS/1.0) img.adti####.com:443
- TCP(TLS/1.0) sdk.adti####.com:443
- TCP(TLS/1.0) 2####.58.208.106:443
- TCP(TLS/1.0) unit####.edges####.net:443
- TCP(TLS/1.0) banners####.traffic####.biz:443
- TCP(TLS/1.0) rpc####.traffic####.biz:443
- TCP(TLS/1.0) au####.unit####.uni####.com:443
- TCP(TLS/1.0) www.xv01####.com:443
- TCP(TLS/1.2) 1####.217.168.227:443
- TCP(TLS/1.2) 2####.58.208.106:443
- TCP(TLS/1.2) 1####.217.17.46:443
Запросы DNS:
- adc.flyer####.com
- au####.unit####.uni####.com
- auc####.unit####.uni####.com
- banners####.traffic####.biz
- cdn-cre####.unit####.uni####.com
- cdn-sto####.unit####.uni####.com
- cdn77####.xvideos####.com
- co####.unit####.uni####.com
- httpk####.unit####.uni####.com
- im####.xvideos####.com
- im####.xvideos####.com
- img.adti####.com
- instant####.google####.com
- ip####.io
- m.adti####.com
- max####.tb1.me
- publish####.unit####.uni####.com
- re####.vs####.com
- rpc####.traffic####.biz
- s.openmed####.com
- sdk.adti####.com
- sta####.ylg####.net
- us.aibi####.com
- web####.unit####.uni####.com
- www.xv01####.com
Запросы HTTP GET:
- adc.flyer####.com/config/config.conf1174?cid=####&osv=####&make=####&aid...
- adc.flyer####.com/logs/log.active?osv=####&make=####&status=####&package...
- adc.flyer####.com/update/update.conf?pk=####&v=####&bdr=####&tp=####&rv=...
- cdn-cre####.unit####.uni####.com/assets/5fad442f2cf0593e9330a5fc/f4e2e45...
- cdn-cre####.unit####.uni####.com/assets/5fad442fd2907d125d7e3c9d/VP9_med...
- cdn-sto####.unit####.uni####.com/store-icons/1b7d1278-8053-4ac2-b9c3-841...
- ip####.io/json
- sta####.ylg####.net.####.cn/public/ad/2021011502_campaign_13/320_250_1.jpg
- us.aibi####.com/favicon.ico
- us.aibi####.com/xrwith?ifa=####&cid=####&ts=####
Запросы HTTP POST:
- re####.vs####.com:30913/openapi/business/ad/campaign/req/2020101701
- re####.vs####.com:30913/openapi/business/monitor/2020102301/monitor/2020...
- re####.vs####.com:30913/openapi/business/monitor/2020102401/monitor/2020...
- re####.vs####.com:30913/openapi/business/report/2020101801/report/202010...
- us.aibi####.com/sspbidder?cid=####&ss=####&idx=####&xrw=####&nfx=####&qi...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/0353214dfce446a2_0
- /data/data/####/0d09fb9f8f432864_0
- /data/data/####/0d09fb9f8f432864_1
- /data/data/####/0d1281b6848e0971_0
- /data/data/####/0ef846b1223c15b7_0
- /data/data/####/17c8390a10ed1581_0
- /data/data/####/17eaa1acd55438ae_0
- /data/data/####/19d25aace325150e_0
- /data/data/####/1f165aae46a43f2f_0
- /data/data/####/220ca6e81f008e1d_0
- /data/data/####/22898007e381227d_0
- /data/data/####/2389f65a50ba5154_0
- /data/data/####/2404084e89c2994d477889d2180f2c52.mp4
- /data/data/####/2404084e89c2994d477889d2180f2c52.mp4-header
- /data/data/####/25e9502fba07e694_0
- /data/data/####/27c8cbeb44dc4682_0
- /data/data/####/2ebab949d4afb49c_0
- /data/data/####/3402611e444a829c_0
- /data/data/####/36e7298acc557c0e_0
- /data/data/####/3771f73e05ab847b_0
- /data/data/####/378fcf757628e4a9_0
- /data/data/####/40ae1f3584d80c22_0
- /data/data/####/47115a56109edfec_0
- /data/data/####/4843bff3340e9bb2_0
- /data/data/####/495fc012f56bd091_0
- /data/data/####/4b0cb12574545c7e_0
- /data/data/####/594e2f8dd02a968d_0
- /data/data/####/59702d575a2e999d_0
- /data/data/####/59702d575a2e999d_1
- /data/data/####/5abdff7d3625d942_0
- /data/data/####/644625635dcc09d7_0
- /data/data/####/669b70b221dd9508_0
- /data/data/####/6a96607499f6a6c7_0
- /data/data/####/6b7083e2eba984f8_0
- /data/data/####/6e9deb3e9c8ba3a9_0
- /data/data/####/706c0c27eeb48cbb_0
- /data/data/####/706c0c27eeb48cbb_1
- /data/data/####/73f0914a57a3cc86_0
- /data/data/####/7c59cf26e797dd5f_0
- /data/data/####/7f8b0be16414735f_0
- /data/data/####/80561458c1253303_0
- /data/data/####/8194ba5307b1976a_0
- /data/data/####/8194ba5307b1976a_1
- /data/data/####/83fb20a1d7f5d7d8_0
- /data/data/####/854e3017eeea940d_0
- /data/data/####/86004889536d6f2a_0
- /data/data/####/90d51a5c6da90ab5_0
- /data/data/####/920a2b733cfd6a6c_0
- /data/data/####/93298c7ee8053431_0
- /data/data/####/951e286138b43cad_0
- /data/data/####/9ece2827f4764dc5_0
- /data/data/####/AndroidAria.db
- /data/data/####/AndroidAria.db-journal
- /data/data/####/AndroidAria.db-journal (deleted)
- /data/data/####/AndroidAria.db-shm (deleted)
- /data/data/####/AndroidAria.db-wal (deleted)
- /data/data/####/AriaApp.cfg
- /data/data/####/AriaDGroup.cfg
- /data/data/####/AriaDownload.cfg
- /data/data/####/AriaUpload.cfg
- /data/data/####/Cookies-journal
- /data/data/####/EMquWlMCCFBaNTBq1tZkmDgnDasqRYapBxURK_yZM6d_FO5...0-h310
- /data/data/####/EMquWlMCCFBaNTBq1tZkmDgnDasqRYapBxURK_yZM6d_FO5...header
- /data/data/####/Hawk2.xml
- /data/data/####/LPjOvRg00ZLcmUvYbvELUX9qN46wUSRrDadTyAxkJIhP8Gz...header
- /data/data/####/LPjOvRg00ZLcmUvYbvELUX9qN46wUSRrDadTyAxkJIhP8Gz...l=s180
- /data/data/####/UnityAdsCache-60403d9344794bed73644cbbcc4bc43b9...65.png
- /data/data/####/UnityAdsCache-8010a99248937fb34e94cadd2116ebbce...9.webm
- /data/data/####/UnityAdsCache-af9356c3a21d0eb6366b57c706bd563ea...66.png
- /data/data/####/UnityAdsStorage-private-data.json
- /data/data/####/UnityAdsStorage-public-data.json
- /data/data/####/UnityAdsTest.txt
- /data/data/####/UnityAdsWebApp.html
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/a190598cb959fe38_0
- /data/data/####/ab5c22dcbcca6e57_0
- /data/data/####/adt.db
- /data/data/####/adt.db-journal
- /data/data/####/aria_config.xml
- /data/data/####/b.dex
- /data/data/####/b.dex.flock (deleted)
- /data/data/####/b.tmp.jar
- /data/data/####/b9f1b2bbd934888f_0 (deleted)
- /data/data/####/ba3021f26439165f_0
- /data/data/####/bd794466ce254e5c_0
- /data/data/####/c3c03a6f5d244c0f_0
- /data/data/####/c82c7438f1e2b7dd_0
- /data/data/####/c9b7f1962ae2e724_0
- /data/data/####/c9b7f1962ae2e724_1
- /data/data/####/c9c29aeeb607984d_0
- /data/data/####/cc775664428fcf4e_0
- /data/data/####/cd7c0cce9dae8a70_0
- /data/data/####/ce85346909ff4a4f_0
- /data/data/####/com.makslup.tontonangawesegerpikir_preferences.xml
- /data/data/####/crypto.KEY_256.xml
- /data/data/####/d1137cc80d7530f8_0
- /data/data/####/d1d5f5767792227d_0
- /data/data/####/d47f8d845238adc5_0
- /data/data/####/d6292fd6e03c0cd0_0
- /data/data/####/d721c8e3e9ccb139_0
- /data/data/####/d92yjln6qdyjlnq.xml
- /data/data/####/d92yjln6qdyjlnq.xml.bak
- /data/data/####/dab9fa15ac42ed98_0
- /data/data/####/dee161541eb6523c_0
- /data/data/####/download_info.db-journal
- /data/data/####/e07b101a4f352c16_0
- /data/data/####/e1f4d4c959657231_0
- /data/data/####/e5fce6e8a00f12bf_0
- /data/data/####/eff125195ea4cf06_0
- /data/data/####/f54c39aab9996d58_0
- /data/data/####/f71df18c069109bf_0
- /data/data/####/ff7f165db5296dfe_0
- /data/data/####/https_www.xv01-app.com_0.localstorage-journal
- /data/data/####/index
- /data/data/####/iv0.html
- /data/data/####/iv0.html-header
- /data/data/####/lib-ro-bi.xml
- /data/data/####/metrics_guid
- /data/data/####/omDB.db
- /data/data/####/omDB.db-journal
- /data/data/####/proc_auxv
- /data/data/####/sonic.db-journal
- /data/data/####/temp.xml
- /data/data/####/the-real-index
- /data/data/####/unityads-installinfo.xml
- /data/data/####/vl.html
- /data/data/####/vl.html-header
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/bin/dex2oat --runtime-arg -classpath --runtime-arg & --instruction-set=x86 --instruction-set-features=smp,ssse3,sse4.1,sse4.2,-avx,-avx2,-lock_add,popcnt --runtime-arg -Xrelocate --boot-image=/system/framework/boot.art --runtime-arg -Xms64m --runtime-arg -Xmx512m --instruction-set-variant=x86 --instruction-set-features=default --dex-file=/data/user/0/<Package>/files/b.jar --oat-fd=35 --oat-location=/data/user/0/<Package>/files/b.dex --compiler-filter=speed
- ls -l /system/bin/su
Использует следующие алгоритмы для шифрования данных:
- AES-GCM-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CFB-NoPadding
- AES-GCM-NoPadding
- DES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о сети.
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
