Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.205.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) mingtia####.bo####.net:80
- TCP(HTTP/1.1) cgi.con####.qq.com:80
- TCP(HTTP/1.1) a####.566.com:80
- TCP(HTTP/1.1) a####.u####.com.####.com:80
- TCP(TLS/1.0) ssls####.jom####.com:443
- TCP(TLS/1.0) www.baif####.com:443
- TCP(TLS/1.0) 1####.251.39.106:443
- TCP(TLS/1.0) api.map.b####.com:443
- TCP(TLS/1.0) ppui-st####.cdn.bc####.####.com:443
- TCP(TLS/1.0) cgi.con####.qq.com:443
- TCP(TLS/1.0) www.a.sh####.com:443
- TCP(TLS/1.0) so####.b####.com:443
- TCP(TLS/1.2) 1####.251.39.106:443
- TCP(TLS/1.2) 2####.58.208.99:443
- TCP(TLS/1.2) 1####.251.39.110:443
- TCP(TLS/1.2) 1####.250.179.174:443
- UDP 1####.251.39.106:443
Запросы DNS:
- a####.566.com
- a####.u####.com
- api.map.b####.com
- cgi.con####.qq.com
- g####.bdst####.com
- m####.go####.com
- ppui-st####.cdn.bc####.com
- so####.b####.com
- sso.ming####.com
- www.b####.com
- www.baif####.com
- www.md####.cn
- www.md####.cn.####.8
Запросы HTTP GET:
- a####.566.com/APP/exam8/Tiku/GetFavor/0/-1/GetFavor/_android/57248090af1...
- a####.566.com/APP/exam8/Tiku/GetFeedBackContact/0/GetArticleList/_androi...
- a####.566.com/api/Feedback/UserFeedbackList?PageIndex=####
- a####.566.com/api/Feedback/replycount
- a####.566.com/api/OldMyPractice/ErrorArr?SubjectId=####&UserId=####
- a####.566.com/api/OldMyPractice/MyNotes?SubjectId=####&UserId=####
- a####.566.com/api/Resource/UpgradeInfo
- a####.566.com/api/Sprint/Papers?UserId=####&SubjectId=####
- a####.566.com/api/Subject/Menus?SubjectId=####
- a####.566.com/api/Webcast/GetVipVideoDownLoadList?webcastcourseid=####&S...
- a####.566.com/api/Webcast/WebcastUserReplaySectionList/?PageIndex=####&c...
- a####.566.com/api/chaptercourse/CourseSiteTree?CourseTreeType=####
- a####.566.com/api/chaptercourse/CourseSiteTreeForBuy?CourseTreeType=####
- a####.566.com/api/chaptercourse/GetUserExpireOrders
- a####.566.com/api/resource/HeadMaster?masterId=####
- a####.566.com/api/resource/HeadMaster?masterType=####
- a####.566.com/api/user/MyMoney?uId=####
- cgi.con####.qq.com:443/qqconnectopen/openapi/policy_conf?status_os=####&...
- mingtia####.bo####.net/yingyong/images/wantiku.png
- ppui-st####.cdn.bc####.####.com:443/static/appsapi/conf/client_c3fe802e4...
- so####.b####.com:443/opmon
- ssls####.jom####.com:443/6bMWfDe8BsgCpNKfpU_Y_D3/static/appsapi/conf/con...
- www.baif####.com:443/callback?cmd=####&callback=####&ua=####
Запросы HTTP POST:
- a####.u####.com.####.com/app_logs
- www.a.sh####.com:443/
- www.baif####.com:443/_u/cashdesk/calc_mkt_pay
- www.baif####.com:443/chanpin_stat
- www.baif####.com:443/odp/wireless/sdk/init
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/Cookies-journal
- /data/data/####/JPushSA_Config.xml
- /data/data/####/JPushSA_Config.xml.bak
- /data/data/####/N2o.dex
- /data/data/####/N2o.dex.flock (deleted)
- /data/data/####/N2o.zip
- /data/data/####/Stat_SDK_SendRem.xml
- /data/data/####/Vod_DownLoad.db
- /data/data/####/Vod_DownLoad.db-journal
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/authStatus_com.exam8.aqerw;remote.xml
- /data/data/####/baf6dbd265b64019b20884be93e10560.json
- /data/data/####/befe5b2c729481d3a0dea6748aaa7d98.json
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/com.baidu.wallet.preferences_name.xml
- /data/data/####/com.exam8.aqerw.xml
- /data/data/####/com.exam8.aqerw_preferences.xml
- /data/data/####/com.tencent.open.config.json.101032511
- /data/data/####/customerservice.db-journal
- /data/data/####/d.db-journal
- /data/data/####/device_id.xml.xml
- /data/data/####/exam8_gk.db-journal
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/gal.db
- /data/data/####/gal.db-journal
- /data/data/####/hst.db
- /data/data/####/hst.db-journal
- /data/data/####/jpush_stat_cache.json
- /data/data/####/leroadcfg.xml
- /data/data/####/libcuid.so
- /data/data/####/mac.xml
- /data/data/####/metrics_guid
- /data/data/####/nuknown-journal
- /data/data/####/proc_auxv
- /data/data/####/re_po_rt.xml
- /data/data/####/re_po_rt.xml.bak
- /data/data/####/sapi_system.xml
- /data/data/####/sapi_system.xml.bak
- /data/data/####/sapi_system.xml.bak (deleted)
- /data/data/####/sp.gensee.xml
- /data/data/####/tencent_analysis.db-journal
- /data/data/####/tpgcc.db-journal
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_general_config.xml.bak
- /data/data/####/umeng_it.cache
- /data/data/####/wappass.baidu.com-passport-login.html
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/1.app.log
- /data/media/####/677415370.tmp
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/app-20211213013705629.log
- /data/media/####/app-20211213013716379.log
- /data/media/####/app-20211213013720694.log
- /data/media/####/app-20211213013738580.log
- /data/media/####/app-20211213013745310.log
- /data/media/####/app-20211213013751668.log
- /data/media/####/app-20211213013757128.log
- /data/media/####/app-20211213013800778.log
- /data/media/####/app-20211213013805267.log
- /data/media/####/app-20211213013810401.log
- /data/media/####/app-20211213013811963.log
- /data/media/####/app-20211213013811980.log
- /data/media/####/app-20211213013812192.log
- /data/media/####/app-20211213013822930.log
- /data/media/####/app-20211213013832365.log
- /data/media/####/crash-2021-12-13-01-37-18-1639348638280.txt
- /data/media/####/crash-2021-12-13-01-37-36-1639348656417.txt
- /data/media/####/crash-2021-12-13-01-37-42-1639348662935.txt
- /data/media/####/crash-2021-12-13-01-37-48-1639348668919.txt
- /data/media/####/crash-2021-12-13-01-37-54-1639348674408.txt
- /data/media/####/crash-2021-12-13-01-37-58-1639348678625.txt
- /data/media/####/crash-2021-12-13-01-38-03-1639348683004.txt
- /data/media/####/crash-2021-12-13-01-38-08-1639348688115.txt
- /data/media/####/crash-2021-12-13-01-38-12-1639348692183.txt
- /data/media/####/crash-2021-12-13-01-38-23-1639348703109.txt
- /data/media/####/crash-2021-12-13-01-38-32-1639348712620.txt
- /data/media/####/login.html
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- ls -l /system/bin/su
Использует следующие алгоритмы для шифрования данных:
- AES
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-CFB-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Получает информацию об отправленых/принятых SMS.
Запрашивает разрешение на отображение системных уведомлений.
