Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.BankBot.766.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) cd####.v####.pangba####.com:80
- TCP(HTTP/1.1) api.co####.pangba####.com:80
- TCP(HTTP/1.1) acti####.api.pangba####.com:80
- TCP(TLS/1.0) o####.e.kuai####.com:443
- TCP(TLS/1.0) pang####.sn####.com.####.net:443
- TCP(TLS/1.0) ce3e####.j####.cn:443
- TCP(TLS/1.0) co####.j####.cn:443
- TCP(TLS/1.0) android####.go####.com:443
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.2) and####.google####.com:443
- TCP(TLS/1.2) 1####.251.39.110:443
- TCP(TLS/1.2) 1####.251.39.106:443
- TCP(TLS/1.2) 1####.250.179.174:443
- TCP(TLS/1.2) 1####.217.168.195:443
- UDP s.j####.cn:19000
- TCP 1####.230.236.48:7003
- UDP 1####.217.132.136:443
- UDP 1####.250.179.202:443
- UDP and####.google####.com:443
Запросы DNS:
- acti####.api.pangba####.com
- and####.google####.com
- android####.go####.com
- api.co####.pangba####.com
- cd####.v####.pangba####.com
- ce3e####.j####.cn
- co####.j####.cn
- easytom####.com
- m####.go####.com
- o####.e.kuai####.com
- pang####.sn####.com
- s.j####.cn
- sis.j####.io
Запросы HTTP GET:
- api.co####.pangba####.com/app/preAdConfig.do?productId=####&vestId=####&...
- cd####.v####.pangba####.com/source/097b210e-4ab6-40bb-b637-3447721eb057....
- cd####.v####.pangba####.com/source/09eed0b3-0533-4544-92bd-23fb81c423f3....
- cd####.v####.pangba####.com/source/16941d53-04e9-46c2-9f72-af1c9732db74....
- cd####.v####.pangba####.com/source/1cdfd03d-9a55-4385-a003-7a0086b70764....
- cd####.v####.pangba####.com/source/2d26f4d9-63cd-4fac-b670-f10ed0c9d273....
- cd####.v####.pangba####.com/source/3649a412-133b-4448-aa06-52a7c56d312f....
- cd####.v####.pangba####.com/source/3a12771e-a751-4dd5-9609-1c3fbbbb995f....
- cd####.v####.pangba####.com/source/52ef2b0e-dda4-437b-a68c-10d3d35416df....
- cd####.v####.pangba####.com/source/5ae79db4-3c68-4ffc-b3cb-34847e991964....
- cd####.v####.pangba####.com/source/65554c3a-9591-48a0-a9de-1a629c4fbca0....
- cd####.v####.pangba####.com/source/6c8a2bea-c07e-4a23-bfb1-fcee081669ee....
- cd####.v####.pangba####.com/source/6ceb75d2-fa50-4b8a-8ec6-5b9922669037....
- cd####.v####.pangba####.com/source/7df183f7-43c4-49b2-916b-13909516a6ef....
- cd####.v####.pangba####.com/source/8349eeb9-111e-4380-a789-0f8a84983716....
- cd####.v####.pangba####.com/source/98fbdecc-0b8a-4187-b358-a84555e9f11e....
- cd####.v####.pangba####.com/source/bb077a6f-1e2e-44a7-992e-848feb9270bc....
- cd####.v####.pangba####.com/source/cce12f10-535a-471c-809d-c6a562b3c8ce....
- cd####.v####.pangba####.com/source/dca2b0bc-45d2-41b0-a965-478540a3e473....
- cd####.v####.pangba####.com/source/de528fe0-e3ee-461e-863b-40e7c4accbe1....
- cd####.v####.pangba####.com/source/f16d9a8d-058d-4208-b0be-620d515cd36e....
Запросы HTTP POST:
- acti####.api.pangba####.com/calling-api/category/detail.do?categoryId=##...
- acti####.api.pangba####.com/calling-api/liveWallpaper/list.do?typeId=###...
- api.co####.pangba####.com/app/getToken.do?productId=####&vestId=####&cha...
- o####.e.kuai####.com:443/rest/e/v3/open/sdk2
- pang####.sn####.com.####.net:443/api/ad/union/sdk/stats/batch/
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-1051830678
- /data/data/####/-1137743339
- /data/data/####/-1147171836
- /data/data/####/-1592874945
- /data/data/####/-293447416
- /data/data/####/-332625698
- /data/data/####/-69740023
- /data/data/####/-819912053
- /data/data/####/-968291460
- /data/data/####/.cl
- /data/data/####/.jg.ic
- /data/data/####/0a72f86b11981e52e8d452499b8844b8090767cb315f2e5....0.tmp
- /data/data/####/0b5b7ee90b6266b53b859d827aa3149bd578eed85d423f8...7e6a.0
- /data/data/####/1119568952
- /data/data/####/111e62d92f82ba7f54a4f8555e2bdb8122f11fb309a92b1....0.tmp
- /data/data/####/1276698436
- /data/data/####/1d741585c6aa8b5ba80ec7dca1839c08d386476a59eab60...eda3.0
- /data/data/####/1d7842c4752cfad2ae1855d9ce1d687a-4011-4011.apk
- /data/data/####/1d9585b6a586e2a8f21684fa2cb2f942b49eefe1cee6ed4....0.tmp
- /data/data/####/28937255
- /data/data/####/2dc22d5649e168b0e71a29ef26c61c3c6b52f3af45dc783....0.tmp
- /data/data/####/36f8935af06026993ce0e2d9a8db02c73d3d6102bf8053d....0.tmp
- /data/data/####/398e52271b996e243d4f32516634e20d105b08edef6124b...3c5a.0
- /data/data/####/4a4ea0216770f073dec35b7900f589596dca352049a5049....0.tmp
- /data/data/####/50064555-2e49-4c91-bb60-4e96b0810acc
- /data/data/####/675250331
- /data/data/####/6d03d0738fffee1f616f1b45c8fcbaf8bcdebbf6f425b94....0.tmp
- /data/data/####/90659b5b8664ec2b1b2226c6d3c8b114448b32f996077eb....0.tmp
- /data/data/####/986046295
- /data/data/####/99ce462f-0970-4db4-9886-3d723ca3e95fmiitAndroidID
- /data/data/####/99ce462f-0970-4db4-9886-3d723ca3e95fmiitUdid
- /data/data/####/IpInfos.xml
- /data/data/####/a08cdac404678b454915a5575348f2092bdf49ef1f9ef52....0.tmp
- /data/data/####/ae73905f1a96a88d06c2c47feb693dd26fd373a6610ddab...d9ea.0
- /data/data/####/b8bedad19620c22db623633ed9b625c0a86c0fdc03b0028...df61.0
- /data/data/####/base-1.apk
- /data/data/####/base-1.dex
- /data/data/####/base-1.dex.flock (deleted)
- /data/data/####/c20bfcf45549d2f80b1485ca2d0917266450fd4a4472a78....0.tmp
- /data/data/####/ceaa00968a342fb42eac12e5a73be57d40f911063482b85....0.tmp
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.dex;classes3.dex
- /data/data/####/classes.dex;classes4.dex
- /data/data/####/classes.dex;classes5.dex
- /data/data/####/classes.dex;classes6.dex
- /data/data/####/classes.oat
- /data/data/####/cn.jiguang.common.xml
- /data/data/####/cn.jiguang.prefs.xml
- /data/data/####/cn.jiguang.sdk.address.xml
- /data/data/####/cn.jiguang.sdk.user.profile.xml
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.config.xml
- /data/data/####/cn.jpush.preferences.v2.rid.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/com.pangbao.funcallshow
- /data/data/####/com.pangbao.funcallshow.crc
- /data/data/####/ddmhimgwish.xml
- /data/data/####/downloader.db-journal
- /data/data/####/e83e59e688436676aa12fb45c0587641aca02541ccf55e8....0.tmp
- /data/data/####/e87d75f401f5795fc34b5b6efc01dbac65c3da8df76f0f2...2548.0
- /data/data/####/e9b750c5caf509cc31a3ec3bac6428e01ce2af2f4cc07f0....0.tmp
- /data/data/####/journal
- /data/data/####/kssdk_api_pref.xml
- /data/data/####/kwappstatus-v7a1638541215352107969096.tmp
- /data/data/####/libPglmetasec_ml.so
- /data/data/####/libavmdl_lite.so
- /data/data/####/libjiagu.so
- /data/data/####/libtobEmbedEncrypt.so
- /data/data/####/libttmplayer_lite.so
- /data/data/####/mipush_country_code
- /data/data/####/mipush_country_code.lock
- /data/data/####/mipush_region
- /data/data/####/mipush_region.lock
- /data/data/####/pangle_meta_data_sp.xml
- /data/data/####/proc_auxv
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_general_config.xml.bak (deleted)
- /data/misc/####/primary.prof
- /data/user_de/####/move_to_de_records.xml
Другие:
Запускает следующие shell-скрипты:
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.miui.ui.version.name
- getprop ro.smartisan.version
- getprop ro.vivo.os.version
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- RSA-ECB-PKCS1Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Отрисовывает собственные окна поверх других приложений.
Перехватывает уведомления.
Запрашивает разрешение на отображение системных уведомлений.
