Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Triada.566.origin
Содержит типичный для банковских троянов/вирусов код.
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) p####.f####.com:80
- TCP(HTTP/1.1) amdc####.m.ta####.com:80
- TCP(HTTP/1.1) pics-tu####.qini####.com:80
- TCP(HTTP/1.1) cdn-sto####.unit####.uni####.####.net:80
- TCP(HTTP/1.1) beacon####.aliy####.com:80
- TCP(HTTP/1.1) cdn-cre####.unit####.uni####.####.net:80
- TCP(TLS/1.0) unit####.edges####.net:443
- TCP(TLS/1.0) al####.u####.com:443
- TCP(TLS/1.0) ads-gam####.ads.prd.####.com:443
- TCP(TLS/1.0) api.vu####.com.####.net:443
- TCP(TLS/1.0) tls.vu####.edges####.net:443
- TCP(TLS/1.0) ap####.tut####.net:443
- TCP(TLS/1.0) ap####.tut####.com:443
- TCP(TLS/1.0) sdk.adti####.com:443
- TCP(TLS/1.0) dualsta####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) wild####.moa####.com.####.net:443
- TCP(TLS/1.0) a.adma####.top:443
- TCP(TLS/1.0) msg.umengc####.com:443
- TCP(TLS/1.0) wcf.seven####.com:443
- TCP(TLS/1.0) auc####.unit####.uni####.com:443
- TCP(TLS/1.0) gd.a.s####.com:443
- TCP(TLS/1.0) 1####.204.174.92:443
- TCP(TLS/1.2) ap####.tut####.com:443
- TCP(TLS/1.2) 64.2####.164.94:443
- TCP(TLS/1.2) 1####.194.220.95:443
- TCP(TLS/1.2) st####.adma####.top:443
- TCP zb-cent####.m.ta####.com:80
- TCP zb-cent####.m.ta####.com:443
Запросы DNS:
- a####.man.aliy####.com
- a.adma####.top
- ads.api.vu####.com
- amdc####.m.ta####.com
- ap####.tut####.com
- ap####.tut####.net
- ap####.uc.cn
- api.vu####.com
- auc####.unit####.uni####.com
- beacon####.aliy####.com
- cd####.vu####.com
- cdn-cre####.unit####.uni####.com
- cdn-sto####.unit####.uni####.com
- co####.unit####.uni####.com
- httpdn####.aliy####.com
- img.adti####.com
- log.u####.com
- msg.umengc####.com
- p####.f####.com
- p####.tut####.com
- plb####.u####.com
- publish####.unit####.uni####.com
- pv.s####.com
- sdk.adti####.com
- st####.adma####.top
- u####.u####.com
- umen####.m.ta####.com
- umengj####.m.ta####.com
- wcf.seven####.com
- web####.unit####.uni####.com
- z.moa####.com
Запросы HTTP GET:
- cdn-cre####.unit####.uni####.####.net/assets/5ffeb2a4d22f2454969e9714/f0...
- cdn-cre####.unit####.uni####.####.net/assets/600160d8493bf208b709f268/VP...
- cdn-sto####.unit####.uni####.####.net/store-icons/0655066c-8db3-419e-ae7...
- pics-tu####.qini####.com/photo/da/2021/04/12/10/26r00ve5ym9w.jpeg?sign=#...
- pics-tu####.qini####.com/photo/da/2021/04/14/14/wp9j5hybcyei.jpeg?sign=#...
- pics-tu####.qini####.com/photo/da/2021/04/19/17/9nk0ezbhuw1d.jpeg?sign=#...
- pics-tu####.qini####.com/photo/da/2021/04/19/17/ktrd5xrcjvfd.jpeg?sign=#...
- pics-tu####.qini####.com/photo/da/2021/04/19/17/mcr8urpvd0d7.jpeg?sign=#...
- pics-tu####.qini####.com/photo/da/2021/04/19/17/mhx09mn45p6q.jpeg?sign=#...
- pics-tu####.qini####.com/photo/da/2021/04/19/17/rqu6hcm0lcms.jpeg?sign=#...
- pics-tu####.qini####.com/photo/da/2021/04/20/11/zjtz3qb98jsh.png?sign=##...
- pics-tu####.qini####.com/photo/da/2021/04/21/14/hbf4dr07kh9t.jpeg?sign=#...
- pics-tu####.qini####.com/picture/app_android/en/000/03/80/71/cover_38071...
- pics-tu####.qini####.com/picture/app_android/en/002/51/05/56/cover_25105...
- pics-tu####.qini####.com/picture/app_android/us/2021/04/10/x6jfx79knofh1...
- pics-tu####.qini####.com/picture/app_android/us/2021/04/17/w36na54hznjal...
- pics-tu####.qini####.com/picture/app_android/us/2021/04/22/e0r8fdsf6zxm5...
Запросы HTTP POST:
- amdc####.m.ta####.com/amdc/mobileDispatch?appkey=####&deviceId=####&plat...
- beacon####.aliy####.com/beacon/fetch/config/byappkey
- p####.f####.com/index.php?r=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/1604311417132-EmpiresandPuzzle_CIEC_PRIAL-1707_...AC.zip
- /data/data/####/1609241141556-CIEC_ASOI1_PRE-AC_playable_13.1_p...26.zip
- /data/data/####/19a0d4792283757cf0bf21e6846b81db.mp4-480x270-Q2.mp4
- /data/data/####/313005e5a38f417f86cc06aea277e17e
- /data/data/####/3147c5352922bf281799442f45eb46e9
- /data/data/####/3147c5352922bf281799442f45eb46e9-header
- /data/data/####/3147c5352922bf281799442f45eb46e9cache (deleted)
- /data/data/####/4GakbT5eVj8nC0WvmMDWTcx_xtBu6Gd3bhwIfjoxTqQ=
- /data/data/####/4GakbT5eVj8nC0WvmMDWTcx_xtBu6Gd3bhwIfjoxTqQ=.vng_meta
- /data/data/####/4b191a3a50b262bd5a7b865218ee4343
- /data/data/####/4b191a3a50b262bd5a7b865218ee4343-header
- /data/data/####/4b191a3a50b262bd5a7b865218ee4343cache
- /data/data/####/5228f6834315f02dba06450c0d87c509
- /data/data/####/5228f6834315f02dba06450c0d87c509-header
- /data/data/####/5228f6834315f02dba06450c0d87c509cache
- /data/data/####/6eba89ae271987f98671a38476011556-header
- /data/data/####/6eba89ae271987f98671a38476011556cache
- /data/data/####/6eba89ae271987f98671a38476011556cache (deleted)
- /data/data/####/7df67ec0c0cb70a141924e72cb8f5515
- /data/data/####/7df67ec0c0cb70a141924e72cb8f5515-header
- /data/data/####/7df67ec0c0cb70a141924e72cb8f5515cache (deleted)
- /data/data/####/9edb1920545fb70fec362fdec702d08c
- /data/data/####/9edb1920545fb70fec362fdec702d08c-header
- /data/data/####/9edb1920545fb70fec362fdec702d08ccache (deleted)
- /data/data/####/ACCS_BINDdefault.xml
- /data/data/####/ACCS_SDK.xml
- /data/data/####/ACCS_SDK.xml.bak
- /data/data/####/ACCS_SDK_CHANNEL.xml
- /data/data/####/ACCS_SDK_CHANNEL.xml.bak
- /data/data/####/AGOO_BIND.xml
- /data/data/####/Agoo_AppStore.xml
- /data/data/####/Alvin2.xml
- /data/data/####/BK_vid133_Sc_1920x1080_30sec_en_music1-480x270-Q2.mp4
- /data/data/####/ContextData.xml
- /data/data/####/D-bQxFVhlWK5D-Nx9Kyi0c-21TBWm7KzWfpOoVFA7qQ=
- /data/data/####/D-bQxFVhlWK5D-Nx9Kyi0c-21TBWm7KzWfpOoVFA7qQ=.vng_meta
- /data/data/####/Language.db-journal
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/P-2797
- /data/data/####/P-4601
- /data/data/####/PwsAZhRPCSJFszXOmRMI7NfdVAxv6P_zSblYc5kgYmY=
- /data/data/####/PwsAZhRPCSJFszXOmRMI7NfdVAxv6P_zSblYc5kgYmY=.vn...leted)
- /data/data/####/PwsAZhRPCSJFszXOmRMI7NfdVAxv6P_zSblYc5kgYmY=.vng_meta
- /data/data/####/ShxhScqP8lQnoSqwVSZa2NA8_mQ7LlX_88ZQzAxqSeM=
- /data/data/####/ShxhScqP8lQnoSqwVSZa2NA8_mQ7LlX_88ZQzAxqSeM=.vng_meta
- /data/data/####/StrategyConfig
- /data/data/####/TutuApp_ID.xml
- /data/data/####/TutuMarket.db-journal
- /data/data/####/TutuUser.db-journal
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/UTUT0DIORD0GNEF0MOC.anrtmp
- /data/data/####/UTUT0DIORD0GNEF0MOC.bati
- /data/data/####/UTUT0DIORD0GNEF0MOC.end
- /data/data/####/UTUT0DIORD0GNEF0MOC.hdr
- /data/data/####/UTUT0DIORD0GNEF0MOC.meminfo
- /data/data/####/UTUT0DIORD0GNEF0MOC.pid
- /data/data/####/UTUT0DIORD0GNEF0MOC.ps
- /data/data/####/UTUT0DIORD0GNEF0MOC.st
- /data/data/####/UTUT0DIORD0GNEF0MOC.start
- /data/data/####/UTUT0DIORD0GNEF0MOC.status
- /data/data/####/UTUT0DIORD0GNEF0MOC.sts
- /data/data/####/UTUT0DIORD0GNEF0MOC.time
- /data/data/####/UTUT0DIORD0GNEF0MOC.uptime
- /data/data/####/UnityAdsCache-4b223139dc90544b8260c49024c51b97f...30.gif
- /data/data/####/UnityAdsCache-b54f9fdafed7700533aed4ee545bb5d3c...22.png
- /data/data/####/UnityAdsCache-b92ed776ed2798263a7974c5220e088a4...0.webm
- /data/data/####/UnityAdsStorage-private-data.json
- /data/data/####/UnityAdsStorage-public-data.json
- /data/data/####/UnityAdsTest.txt
- /data/data/####/UnityAdsWebApp.html
- /data/data/####/WXovo7QJD8CKQM0WRto-3LheHVvCNx9s-qRfzKuel_k=
- /data/data/####/WXovo7QJD8CKQM0WRto-3LheHVvCNx9s-qRfzKuel_k=.vn...leted)
- /data/data/####/WXovo7QJD8CKQM0WRto-3LheHVvCNx9s-qRfzKuel_k=.vng_meta
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/ZXT81D6vyvrbv8NSbzO_oviJ3PUjOOaGMVX1F5_-dOM=
- /data/data/####/ZXT81D6vyvrbv8NSbzO_oviJ3PUjOOaGMVX1F5_-dOM=.vng_meta
- /data/data/####/a==9.1.6&&3.6.7_1619106195132_envelope.log
- /data/data/####/ab6934795edf46ae13b3a13f3f3596dd.mp4-480x270-h264-Q2.mp4
- /data/data/####/accs.db-journal
- /data/data/####/ad-css-injection.css
- /data/data/####/ad-js-injection.js
- /data/data/####/ad.html
- /data/data/####/agoo.pid
- /data/data/####/al.xml
- /data/data/####/b2598d8f480d3bdc92258c6119fd6fa9
- /data/data/####/b2598d8f480d3bdc92258c6119fd6fa9-header
- /data/data/####/b2598d8f480d3bdc92258c6119fd6fa9cache (deleted)
- /data/data/####/b2OPU67zsBMMCNmANIZeK0oDb9Y1hFhoL2AqSonHXts=
- /data/data/####/b2OPU67zsBMMCNmANIZeK0oDb9Y1hFhoL2AqSonHXts=.vng_meta
- /data/data/####/ba13ffcbc038630209026dbf0eb4e7c0-header
- /data/data/####/ba13ffcbc038630209026dbf0eb4e7c0cache
- /data/data/####/ba13ffcbc038630209026dbf0eb4e7c0cache (deleted)
- /data/data/####/bfbb.
- /data/data/####/bfbb.dex (deleted)
- /data/data/####/bfbb.dex.flock (deleted)
- /data/data/####/c02885e97ed601f13ed9a6cec735799e.zip
- /data/data/####/cache_policy_journal
- /data/data/####/cache_policy_journal (deleted)
- /data/data/####/cache_touch_timestamp
- /data/data/####/cache_touch_timestamp (deleted)
- /data/data/####/cdt.wa
- /data/data/####/com.feng.droid.tutu.xml
- /data/data/####/com.feng.droid.tutu_preferences.xml
- /data/data/####/com.vungle.sdk.xml
- /data/data/####/com.vungle.sdk.xml.bak
- /data/data/####/com_alibaba_aliyun_crash_defend_sdk_info
- /data/data/####/core.xml
- /data/data/####/cr.wa
- /data/data/####/crash_log_sp.xml
- /data/data/####/dW1weF9wdXNoX2xhdW5jaF8xNjE5MTA2MjMzNTEw;
- /data/data/####/dW1weF9wdXNoX3JlZ2lzdGVyXzE2MTkxMDYyMjMzNTM=;
- /data/data/####/dW1weF9zaGFyZV8xNjE5MTA2MjE0MDYx;
- /data/data/####/dW1weF9zaGFyZV8xNjE5MTA2MjE0Mjg5;
- /data/data/####/delayed_transmission_flag_new.xml
- /data/data/####/dt.wa
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/httpdns_config_enable.xml
- /data/data/####/i==1.2.0&&3.6.7_1619106185792_envelope.log
- /data/data/####/index
- /data/data/####/index.html
- /data/data/####/info.xml
- /data/data/####/ixadmix.xml
- /data/data/####/message_accs_db
- /data/data/####/message_accs_db-journal
- /data/data/####/metrics_guid
- /data/data/####/mraid.js
- /data/data/####/okdownload-breakpoint.db-journal
- /data/data/####/proc_auxv
- /data/data/####/pv.wa
- /data/data/####/s3p43_4z5he6n4g6x45u7e890jp-i00-ao-0.xml
- /data/data/####/sbtyu76j7ui78pi7_6i7c8i78i78oin78fi76i8ig78i7.xml
- /data/data/####/share.db-journal
- /data/data/####/shell_config
- /data/data/####/template
- /data/data/####/the-real-index
- /data/data/####/tutu_crash.db-journal
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/um_session_id.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_common_config.xml.bak
- /data/data/####/umeng_common_location.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_it_sl.cache
- /data/data/####/umeng_message_state.xml
- /data/data/####/umeng_socialize.xml
- /data/data/####/umeng_sp_oaid.xml
- /data/data/####/umeng_sp_zdata.xml
- /data/data/####/umeng_zcfg_flag
- /data/data/####/umeng_zero_cache.db
- /data/data/####/umeng_zero_cache.db-journal
- /data/data/####/unique
- /data/data/####/unityads-installinfo.xml
- /data/data/####/variant_data.json
- /data/data/####/ver
- /data/data/####/vungle-privacy.svg
- /data/data/####/vungle_db-journal
- /data/data/####/z==1.2.0&&3.6.7_1619106178742_envelope.log
- /data/media/####/179cc6a8aa36053d1f9de2e96cb2b6aa4196cc14d938d1...df65.0
- /data/media/####/3f560a91380ca0df08937660d3f03121a37cfa224cc50c....0.tmp
- /data/media/####/42440e1b68a4d34a87354147139f9cb0a2064fa135766f....0.tmp
- /data/media/####/4ac6f9954e445c662e0659fefa55d5d536ab75e27b80ed....0.tmp
- /data/media/####/7e6d80ac8862b60137665287d37690c165575cfa59dd12....0.tmp
- /data/media/####/89897b4b1b8dd1e178480d44dda022514409ce0ed3adcb....0.tmp
- /data/media/####/913aca27bae7afa95b84e5d78d9b622fc8df75c5a4ee8d....0.tmp
- /data/media/####/d9543a1bd2bad3eebf134fdec077b8c3a463b2a4c19eca....0.tmp
- /data/media/####/deviceToken
- /data/media/####/e93b55d46ec43f32eb18909b0ec4b1af0e5d674dd6b32a....0.tmp
- /data/media/####/f9dcd84e5c03820c550edfd16e05c1ec8eb01fbbe01755....0.tmp
- /data/media/####/fa6d0c9b60e5e4fdc07b6b143bee16bc808b5154b0b72a....0.tmp
- /data/media/####/journal
- /data/media/####/journal.tmp
- /data/media/####/sysid.dat
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- /system/bin/dex2oat --runtime-arg -classpath --runtime-arg & --instruction-set=x86 --instruction-set-features=smp,ssse3,sse4.1,sse4.2,-avx,-avx2,-lock_add,popcnt --runtime-arg -Xrelocate --boot-image=/system/framework/boot.art --runtime-arg -Xms64m --runtime-arg -Xmx512m --instruction-set-variant=x86 --instruction-set-features=default --dex-file=/data/user/0/<Package>/files/<Package>_c/bfbb. --oat-fd=34 --oat-location=/data/user/0/<Package>/files/<Package>_c/<Package>/1619106183289/bfbb.dex --compiler-filter=speed
- /system/bin/dex2oat --runtime-arg -classpath --runtime-arg & --instruction-set=x86 --instruction-set-features=smp,ssse3,sse4.1,sse4.2,-avx,-avx2,-lock_add,popcnt --runtime-arg -Xrelocate --boot-image=/system/framework/boot.art --runtime-arg -Xms64m --runtime-arg -Xmx512m --instruction-set-variant=x86 --instruction-set-features=default --dex-file=/data/user/0/<Package>/files/<Package>_c/bfbb. --oat-fd=38 --oat-location=/data/user/0/<Package>/files/<Package>_c/<Package>/1619106177495/bfbb.dex --compiler-filter=speed
- getprop ro.debuggable
- ls /
- ls /sys/class/thermal
- ps
- sh -c type su
Использует следующие алгоритмы для шифрования данных:
- AES
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- desede-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS7Padding
- desede-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
