Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Backdoor.564.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) cms####.ahea####.com:80
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(TLS/1.0) alibaba####.ten####.ali####.com:443
- TCP(TLS/1.0) ti####.c####.l####.####.com:443
- TCP(TLS/1.0) safebro####.google####.com:443
- TCP(TLS/1.0) gtc.g####.net:443
- TCP(TLS/1.0) al####.u####.com:443
- TCP(TLS/1.0) f####.gst####.com:443
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.0) md####.google####.com:443
- TCP(TLS/1.0) cms####.ahea####.com:443
- TCP(TLS/1.0) sdk.o####.p####.####.com:443
- TCP(TLS/1.0) 2####.58.208.106:443
- TCP(TLS/1.2) 1####.251.36.46:443
- TCP(TLS/1.2) 2####.58.208.99:443
- TCP sdk.o####.t####.####.com:5224
- TCP dot.wts.xi####.cn:443
- UDP 2####.58.208.106:443
Запросы DNS:
- a####.u####.com
- and####.google####.com
- c####.ahea####.com
- c####.g####.net
- cm-10####.g####.com
- cms####.ahea####.com
- cmsap####.ahea####.com
- cmswe####.ahea####.com
- dot.wts.xi####.cn
- f####.gst####.com
- ga####.lotu####.com
- gtc.g####.net
- l####.tbs.qq.com
- log.u####.com
- md####.google####.com
- on####.lotu####.com
- plug####.ahea####.com
- q####.ahea####.com
- qn.res.ahea####.com
- safebro####.google####.com
- sdk-####.g####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- u####.u####.com
Запросы HTTP GET:
- cms####.ahea####.com//UploadFile/2014-03-04/bd9a4a61-6aa6-4e30-b190-33aa...
- cms####.ahea####.com//UploadFile/2016-03-08/ee982879-a59c-46c6-9b3a-a57d...
- cms####.ahea####.com//UploadFile/3114/2020/04-30/5adcfaca-70df-44b4-a00d...
- cms####.ahea####.com//UploadFile/3114/2020/08-26/02cd96d0-bce0-4263-b59a...
- cms####.ahea####.com//UploadFile/3114/2020/08-26/Thumb_200x200_c6781758-...
- cms####.ahea####.com//UploadFile/3114/2020/08-27/89a3be82-549e-4640-98cd...
- cms####.ahea####.com//UploadFile/3114/2020/08-27/a6e54fe9-59d8-43a4-ae62...
- cms####.ahea####.com//UploadFile/3114/2020/08-27/adb9a44d-9c0c-45ad-bfe2...
- cms####.ahea####.com//UploadFile/3114/2020/08-27/c7391fd0-4bf6-4140-bbf0...
- cms####.ahea####.com//UploadFile/3114/2020/08-27/dc7e9ff4-f9da-4347-adf6...
- cms####.ahea####.com//UploadFile/3114/2020/08-27/f5ef530e-60e1-4664-9d30...
- cms####.ahea####.com//UploadFile/3114/2020/08-27/fa9e7d08-a7ac-4e6f-a3de...
- cms####.ahea####.com//UploadFile/3114/2020/08-31/d9b01bdc-cc54-4f68-86cd...
- cms####.ahea####.com:443//api/Article/List4PersonalizedRecommender?NewsP...
- cms####.ahea####.com:443/UploadFile/3114/2020/08-26/Thumb_200x200_c67817...
- cms####.ahea####.com:443/api/Article/Classify?regionsCode=####&Pidx=####...
- cms####.ahea####.com:443/api/Article/GetClassifyLastPostDate?Type=####&N...
- cms####.ahea####.com:443/api/Article/GetClassifyLastUpdateDate?Type=####...
- cms####.ahea####.com:443/api/Article/ListYanBian?Type=####&t=####&Classi...
- cms####.ahea####.com:443/api/Article/TouchNewsList?Width=####&Height=###...
- cms####.ahea####.com:443/api/Interaction/GetInteractionList?PageIndex=##...
- cms####.ahea####.com:443/api/Newspaper/GetNewspaperGroup?Id=####
- cms####.ahea####.com:443/api/Newspaper/GetUpdateTimeStamp?NewspaperGroup...
- cms####.ahea####.com:443/api/Region/GetWeather?Id=####
- cms####.ahea####.com:443/api/Report/GetReportList?PageIndex=####&Authori...
- cms####.ahea####.com:443/api/ServiceLinkApi/GetServiceLinkTypeList?TypeV...
- ti####.c####.l####.####.com/3114/2021/06-28/fbc72190a81d42d9ab2e9171080f...
- ti####.c####.l####.####.com/3114/2021/09-02/5ffe64134eb64580b67be0a64b76...
- ti####.c####.l####.####.com/3114/2021/09-03/2c6aa563e8f942878f1164050ebd...
- ti####.c####.l####.####.com/3114/2021/09-03/b8a7a3e1e8dc4b18b3278ee818aa...
- ti####.c####.l####.####.com/3114/2021/09-03/d3ff3a90f73c489e921b43b1872a...
- ti####.c####.l####.####.com/3114/2021/09-03/f1f5e2b8cdc246799e5025848ca3...
- ti####.c####.l####.####.com/3114/2021/09-04/0d6d482c019944de9a17687cad9d...
- ti####.c####.l####.####.com/3114/2021/09-04/4ae6724da9844ba6a61dd3864f3d...
- ti####.c####.l####.####.com/3114/2021/09-04/81338895fd3448c4bd30952581b5...
- ti####.c####.l####.####.com/3114/2021/09-04/91f202c04fca417ba864b3e34ed6...
- ti####.c####.l####.####.com/3114/2021/09-04/ac09cd656ef644ecad320f6bec3d...
- ti####.c####.l####.####.com/3114/2021/09-04/b08695461b1f43d28b67490fb4b4...
- ti####.c####.l####.####.com/3114/2021/09-04/d0a9d4d432af4ca49f8f90e3761a...
Запросы HTTP POST:
- al####.u####.com:443/umpx_share
- al####.u####.com:443/unify_logs
- al####.u####.com:443/zcfg
- alibaba####.ten####.ali####.com:443/api/postZdata
- cms####.ahea####.com:443/api/Device/SaveDetailInfo
- gtc.g####.net:443/cidserver/getcid
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.cl
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/026f8912e37ebf694ba5bec84223153e474f06dc8676f02....0.tmp
- /data/data/####/03bfee0aaeb4bf00a18c006ac2dc80676b02b89375c0cfc....0.tmp
- /data/data/####/1c5e6e63dbf1a2fb95db37c6d1a115a8988efd4e06975ea...f8dc.0
- /data/data/####/1fcc6f6384d2a87418d558799a103692b683806ad0c1d87....0.tmp
- /data/data/####/246954de71a46fdef7f2b538a22289c81e0fd60899b40cc....0.tmp
- /data/data/####/27262d00c8cfc5ce350cca96be2cb0c26e707125008274f....0.tmp
- /data/data/####/30436660958109f2d5d1830a3d30db4570cd11820d51f82....0.tmp
- /data/data/####/37096433c72cbd5bb254434666b92118604ac14e38f2564....0.tmp
- /data/data/####/37508c154114fd1ae8b95847be5a0a74
- /data/data/####/3db09d04fc36b3510acccc18e26a6912a5bf4e7603e2098....0.tmp
- /data/data/####/45e1cb17683084336d328ef9507c816c3835c15c01b61ba....0.tmp
- /data/data/####/48e906edc0e28c9632865395fadbf3cde1b7592e7b3ef33....0.tmp
- /data/data/####/4f288b645eae82643c481582e57101adcbbeab7206420c7....0.tmp
- /data/data/####/50c1c337dc9886df8d16b544e6311e17c8f8aad8f22b6c8....0.tmp
- /data/data/####/5a6be7e220b67947079ad455f47afd9513840bd14fd7360....0.tmp
- /data/data/####/636942e399842bccaf32d65bdcb0c824f4c1175732cd7f7....0.tmp
- /data/data/####/7767907ad025af0d7686caf65d87e5cd428aedda90f1393....0.tmp
- /data/data/####/8f5ce0a06d52e51f9fd63174f953db7ed0a0e6278573054....0.tmp
- /data/data/####/AheadNews280.db-journal
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/PrefsFile.xml
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/_tmp_PRIORITIZED_3425_1630764114456
- /data/data/####/a47ab2d951d8e615bec6b325fc0bc669243af6074a57453...8267.0
- /data/data/####/a5dd0b9f71aa73213662def661b47bfaa031cc97987a88c....0.tmp
- /data/data/####/alsn20170807.db
- /data/data/####/alsn20170807.db-journal
- /data/data/####/ba6f50bf133fbf34cdd03cefdd27466a2dd24c1830302f4....0.tmp
- /data/data/####/bullet_PRIORITIZED_3425_1630764114453
- /data/data/####/bullet_PRIORITIZED_3539_1630764119100
- /data/data/####/c7a0d53642dfe4a958c2333d7eef7a863671e1c590207d9....0.tmp
- /data/data/####/cg.db-journal
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.dex;classes3.dex
- /data/data/####/classes.dex;classes4.dex
- /data/data/####/classes.oat
- /data/data/####/com.aheading.news.puerrb_preferences.xml
- /data/data/####/com.vivo.push_preferences.appconfig_v1.xml
- /data/data/####/com.vivo.push_preferences.xml
- /data/data/####/core_info
- /data/data/####/dcb4134e36b25b3e03ac690797fe11ece1f1e4bf7d4b81b....0.tmp
- /data/data/####/de8dc1a1cdd46246b2f5165b7cda3a24
- /data/data/####/dim.db-journal
- /data/data/####/e2aea0d4a4fb1b90ba01bdac2fc4a2c0.0
- /data/data/####/e9bf7dd24871b138d8992b0191e6a0cb91c804227403bfc....0.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f066fe09b0476f39913ca6f7f7ec4e6d87e0701415a1576....0.tmp
- /data/data/####/f4585f557734625699a4e5e250090e197b9b40defb4944d....0.tmp
- /data/data/####/f4a1544bd9c9d96828cb7d3fb633141f922d5e1e8eaf7c7....0.tmp
- /data/data/####/fe8727025fe545118fc18c3286a2b025882ade88a37bdf2....0.tmp
- /data/data/####/getui_sp.xml
- /data/data/####/grp.prop
- /data/data/####/gtc3.db-journal
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/i==1.2.0&&3.9.06_1630764122456_dW5pZnlfbG9ncw==;.log
- /data/data/####/info.xml
- /data/data/####/init_c1.pid
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/k.store
- /data/data/####/libjiagu.so
- /data/data/####/lotuseed.apps
- /data/data/####/lotuseed.lock
- /data/data/####/lotuseed.s
- /data/data/####/lotuseed.task
- /data/data/####/lotuseed_global.xml
- /data/data/####/lotuseed_main.xml
- /data/data/####/metrics_guid
- /data/data/####/proc_auxv
- /data/data/####/pushsdk.db-journal
- /data/data/####/pushservice_umeng_common_config.xml
- /data/data/####/pushservice_umeng_common_config.xml.bak
- /data/data/####/s==7.1.4&&3.9.06_1630764147863_dW1weF9zaGFyZQ==;.log
- /data/data/####/share.db-journal
- /data/data/####/t==9.3.8&&3.9.06_1630764122805_dW5pZnlfbG9ncw==;.log
- /data/data/####/tbs_download_config.xml
- /data/data/####/tbs_download_config.xml.bak
- /data/data/####/tbs_download_stat.xml
- /data/data/####/tbscoreinstall.txt
- /data/data/####/tbslock.txt
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/um_session_id.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_common_config.xml.bak
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_socialize.xml
- /data/data/####/umeng_zcfg_flag
- /data/data/####/umeng_zero_cache.db
- /data/data/####/umeng_zero_cache.db-journal
- /data/data/####/umzid_general_config.xml
- /data/data/####/umzid_general_config.xml.bak
- /data/data/####/z==1.2.0&&3.9.06_1630764113351_emNmZw==;.log
- /data/data/####/zy_unique_id.bin
- /data/misc/####/primary.prof
- /data/user_de/####/move_to_de_records.xml
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- getprop ro.miui.ui.version.code
- getprop ro.miui.ui.version.name
- getprop ro.product.cpu.abi
- ls /sys/class/thermal
- ps
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-CFB-NoPadding
- RSA-ECB-NoPadding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-CFB-NoPadding
- RSA-ECB-PKCS1Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
