Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.277.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) p####.api.adoc####.com:80
- TCP(HTTP/1.1) 6####.28.62.188:80
- TCP(HTTP/1.1) a####.u####.com.####.com:80
- TCP(HTTP/1.1) 1####.29.29.29:80
- TCP(HTTP/1.1) 1####.29.74.92:8123
- TCP(HTTP/1.1) newap####.math####.cn:80
- TCP(HTTP/1.1) co####.ssp.adoc####.com:80
- TCP(HTTP/1.1) c####.cn.edg####.net:80
- TCP(HTTP/1.1) 1####.171.131.87:80
- TCP(HTTP/1.1) my####.b0.a####.com:80
- TCP(TLS/1.0) my####.b0.a####.com:443
- TCP(TLS/1.0) 64.2####.162.113:443
- TCP(TLS/1.0) p####.g3p####.lec####.com:443
- TCP(TLS/1.0) www.a.sh####.com:443
- UDP 1####.71.249.173:4503
- UDP 1####.75.194.114:4722
- UDP 1####.71.249.173:4495
- UDP 1####.116.222.71:8838
- UDP 39.1####.85.84:30136
- UDP 1####.181.176.179:17090
- UDP 47.95.2####.254:30222
- UDP 1####.75.194.114:4734
- UDP 1####.229.176.67:16783
- UDP 1####.75.194.114:4726
- UDP 14.0.1####.60:32041
- UDP 1####.181.176.179:17084
- UDP 1####.75.194.114:4736
- UDP 1####.71.249.173:4501
- UDP 1####.71.249.173:4498
- UDP 39.1####.85.84:30953
- UDP 47.95.2####.254:30925
- UDP 47.95.2####.254:30968
- UDP 1####.181.176.179:17093
- UDP 39.1####.127.154:22000
- UDP 14.0.1####.60:32043
- UDP 1####.181.176.179:17097
- UDP 14.0.1####.60:32054
- UDP 1####.181.176.179:17082
- UDP 47.95.2####.254:30916
- UDP 1####.181.176.179:17083
- UDP 14.0.1####.60:32049
- UDP 1####.85.104.19:8907
- UDP as3.binst####.live:3924
- UDP 1####.181.176.179:17096
- UDP 1####.71.249.173:4486
- UDP 47.95.2####.254:30298
- UDP 1####.75.194.114:4721
- UDP 1####.181.176.179:17081
- UDP 1####.71.249.173:4500
- UDP 14.0.1####.60:32048
- UDP 47.95.2####.254:30699
- UDP 14.0.1####.60:32051
- UDP 47.95.2####.254:30972
- UDP 47.95.2####.254:30436
- UDP 2####.255.255.250:1900
- UDP 1####.71.249.173:4491
- UDP 1####.229.156.172:7780
- UDP 1####.181.176.179:17086
- TCP c####.qitianc####.com:20007
- UDP 1####.109.127.55:13701
- UDP 47.95.2####.254:30767
- UDP 1####.37.114.108:13026
- UDP 14.21.1####.100:31935
- UDP 39.1####.85.84:3478
- UDP 14.0.1####.60:32045
- UDP 1####.71.249.173:4494
- UDP 47.95.2####.254:30778
- UDP 14.0.1####.60:32039
- UDP 1####.30.56.16:26115
- UDP 1####.181.176.179:17094
- UDP 1####.181.176.179:17087
- UDP 14.0.1####.60:32044
- UDP 1####.30.166.83:16404
- UDP 39.1####.85.84:30499
- UDP 1####.181.176.179:17098
- UDP 47.95.2####.254:30962
- UDP 47.95.2####.254:30133
- UDP 1####.181.176.179:17095
- UDP 1####.75.194.114:4720
- UDP 1####.231.46.54:6692
- UDP 1####.75.194.114:4724
- UDP as3.binst####.live:3925
- UDP 14.0.1####.60:32042
- UDP 39.1####.85.84:30095
- UDP 1####.181.176.179:17088
- UDP 1####.75.194.114:4727
- UDP 14.0.1####.60:32052
- UDP 1####.71.249.173:4487
- UDP 1####.75.194.114:4732
- UDP 1####.181.176.179:17092
- UDP 1####.11.242.190:27436
- UDP 1####.181.176.179:17099
- UDP 1####.181.176.179:17100
- UDP 14.0.1####.60:32055
- UDP 1####.75.194.114:4725
- UDP 14.0.1####.60:32057
- UDP 47.95.2####.254:30514
- UDP 1####.71.249.173:4492
- UDP 47.95.2####.254:30786
- UDP 14.0.1####.60:32050
- UDP 1####.75.194.114:4723
- UDP 47.95.2####.254:30892
- UDP 1####.75.194.114:4735
- UDP 47.95.2####.254:30382
- UDP tm2.binst####.live:13
- UDP as3.binst####.live:13
- UDP 14.0.1####.60:32040
- UDP 1####.75.194.114:4731
- UDP 1####.75.194.114:4730
- UDP 47.95.2####.254:30489
- UDP 47.95.2####.254:30145
- UDP as2.binst####.live:3923
- UDP 14.0.1####.60:32038
- UDP 1####.75.194.114:4728
- UDP 1####.181.176.179:17085
- UDP 14.0.1####.60:32047
- UDP as2.binst####.live:3925
- UDP 39.1####.85.84:30120
- UDP 1####.71.249.173:4496
- UDP 1####.71.249.173:4502
- UDP 1####.71.249.173:4493
- UDP 39.1####.85.84:30235
- UDP 1####.71.249.173:4504
- UDP 39.1####.85.84:30711
- UDP 14.0.1####.60:32037
- UDP 47.95.2####.254:30236
- UDP 14.0.1####.60:32056
- UDP 39.1####.85.84:30973
- UDP 39.1####.85.84:30283
- UDP 1####.71.249.173:4489
- UDP 39.1####.85.84:30725
- UDP 1####.71.249.173:4490
- UDP 47.95.2####.254:30913
- UDP 1####.71.249.173:4499
- UDP 1####.93.82.157:15678
- UDP 47.95.2####.254:30037
- UDP 1####.71.249.173:4488
- UDP 14.0.1####.60:32053
- UDP 1####.0.17.254:33393
- UDP 1####.75.194.114:4718
- UDP 47.95.2####.254:30528
- UDP 47.95.2####.254:3479
- UDP 1####.71.249.173:4505
- UDP 58.63.1####.11:15886
- UDP 14.0.1####.60:32046
- UDP 39.1####.85.84:30183
- UDP 1####.181.176.179:17089
- UDP 1####.75.194.114:4733
- UDP 1####.75.194.114:4737
- UDP 1####.181.176.179:17091
- UDP 1####.75.194.114:4717
- UDP 1####.75.194.114:4729
- UDP 14.2####.176.183:4097
- UDP 1####.181.176.179:17080
- UDP 1####.9.131.142:3607
- UDP 1####.71.249.173:4497
- UDP 39.1####.85.84:30009
- UDP 47.95.2####.254:30336
- UDP 1####.71.249.173:4485
- UDP 1####.75.194.114:4719
- UDP 47.95.2####.254:30112
Запросы DNS:
- a####.u####.com
- api.c####.cn
- as2.binst####.live
- as3.binst####.live
- c####.qitianc####.com
- co####.ssp.adoc####.com
- d####.5####.cn
- g####.le.com
- l####.cdn.t####.tv
- m.5####.cn
- mt####.go####.com
- newap####.math####.cn
- os.up####.feiyu####.com
- p####.api.adoc####.com
- prelo####.sd####.com
- s.kk####.com
- tm1.binst####.live
- tm2.binst####.live
- tm3.binst####.live
- tm4.binst####.live
- www.b####.com
Запросы HTTP GET:
- c####.cn.edg####.net/epg/epginfo?serviceId=####&c=####&d=####
- co####.ssp.adoc####.com/api/v2/SDKCommonConfig?channelCode=####&version=...
- co####.ssp.adoc####.com/api/v2/mgmConfig?channelCode=####&version=####
- co####.ssp.adoc####.com/api/v2/mgmWebviewRatioConfig?channelCode=####&ve...
- my####.b0.a####.com/app/cjzb_1.4.7_tv.apk
- newap####.math####.cn/ssp/mgm/task?taskId=####&ip=####
- p####.api.adoc####.com/ip
Запросы HTTP POST:
- a####.u####.com.####.com/app_logs
- newap####.math####.cn/titan/monitor/device_info
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/1614817339855.jar
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/channel.db-journal
- /data/data/####/config.xml
- /data/data/####/epg-cntv-cctv1-20210304.json
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/liblgsg.so
- /data/data/####/libstreamp2p.so
- /data/data/####/libsupertv.so
- /data/data/####/libtvcore.so
- /data/data/####/live.db
- /data/data/####/live.db (deleted)
- /data/data/####/live.db-journal
- /data/data/####/main.xml
- /data/data/####/mzsdk_20200924.jar
- /data/data/####/p2p.log
- /data/data/####/proxy.db
- /data/data/####/proxy.db-journal
- /data/data/####/qtcloud.tmp
- /data/data/####/start.jpg
- /data/data/####/timestamp
- /data/data/####/tvbus.tmp (deleted)
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_general_config.xml.bak (deleted)
- /data/data/####/umeng_it.cache
- /data/data/####/unknown.xml
- /data/data/####/update.apk
- /data/data/####/webview.db-journal
- /data/media/####/.vauid
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/device
- /data/media/####/dvc
Другие:
Запускает следующие shell-скрипты:
- chmod 777 <Package Folder>/cache/update.apk
Загружает динамические библиотеки:
- ijkffmpeg
- ijkplayer
- ijksdl
- liblgsg
- libstreamp2p
- libtvcore
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- DESede
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
