Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.127.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) l####.tbs.qq.com:80
- TCP(HTTP/1.1) amap####.cn-hang####.oss####.####.com:80
- TCP(HTTP/1.1) c####.t####.cn:80
- TCP(HTTP/1.1) weeklyr####.moretic####.com:80
- TCP(HTTP/1.1) a####.u####.com.####.com:80
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.0) 2####.58.208.202:443
- TCP(TLS/1.0) d####.c####.l####.####.com:443
- TCP(TLS/1.0) i####.t####.cn:443
- TCP(TLS/1.0) res####.a####.com:443
- TCP(TLS/1.0) adt.x####.com:443
- TCP(TLS/1.0) cdn.t####.cn:443
- TCP(TLS/1.0) ap####.moretic####.com:443
- TCP(TLS/1.2) 1####.250.203.202:443
- TCP(TLS/1.2) 1####.250.203.206:443
- TCP(TLS/1.2) 1####.217.16.3:443
Запросы DNS:
- a####.u####.com
- adt.x####.com
- amap####.cn-hang####.oss####.####.com
- and####.google####.com
- ap####.moretic####.com
- app.moretic####.com
- c####.t####.cn
- cdn.t####.cn
- i####.t####.cn
- i.t####.com
- l####.tbs.qq.com
- m####.go####.com
- res####.a####.com
- weeklyr####.moretic####.com
Запросы HTTP GET:
- amap####.cn-hang####.oss####.####.com/sdkcoor/android/armeabi-v7a/libJni...
- ap####.moretic####.com:443/showapi/pub/site/1001/app/loading?siteCityOID...
- c####.t####.cn/config/Android.conf
- c####.t####.cn/config/Android.conf?project=####&token=####
- weeklyr####.moretic####.com/my_file/0f9ecfb5-5286-4c72-877b-21f62d40c094...
- weeklyr####.moretic####.com/my_file/13915d1e-27df-4eb6-adb5-a7d8ceb91b74...
- weeklyr####.moretic####.com/my_file/60d72291-1b4b-4e8f-8def-0c944ad67ec3...
- weeklyr####.moretic####.com/my_file/850b8ca4-37c2-4f0a-b38e-939788e3ca8b...
- weeklyr####.moretic####.com/my_file/9c463524-e9eb-4fc3-9001-d6549730052d...
- weeklyr####.moretic####.com/my_file/e8818fa2-5189-4114-8736-af1884277efe...
Запросы HTTP POST:
- a####.u####.com.####.com/app_logs
- c####.t####.cn/sa?project=####&token=####
- l####.tbs.qq.com/ajax?c=####&k=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-18605761851573720233
- /data/data/####/-20074246841867055267
- /data/data/####/-20074246841867055359
- /data/data/####/-20074246841867056234
- /data/data/####/-25179321-1876713818
- /data/data/####/-25179321-1876775568
- /data/data/####/-25179321-1876838003
- /data/data/####/-25179321-1876921578
- /data/data/####/-25179321-1897059267
- /data/data/####/-25179321-1897123596
- /data/data/####/-25179321-1897183365
- /data/data/####/-25179321-1897895401
- /data/data/####/-25179321-1897989368
- /data/data/####/-25179321-1898071235
- /data/data/####/-25179321-1898134756
- /data/data/####/-25179321-1898824625
- /data/data/####/-25179321-1898907307
- /data/data/####/-25179321-1898995718
- /data/data/####/-25179321-1899083975
- /data/data/####/-25179321-1899769295
- /data/data/####/-25179321-1899831632
- /data/data/####/-25179321-1899894093
- /data/data/####/-25179321-1899950862
- /data/data/####/-25179321-1900699632
- /data/data/####/-25179321-1901768171
- /data/data/####/-25179321-1902601419
- /data/data/####/-5624518291073067058
- /data/data/####/-87398988663957314
- /data/data/####/-87398988665837994
- /data/data/####/-87398988665926491
- /data/data/####/-87398988665986943
- /data/data/####/-878933376-1945213366
- /data/data/####/-878933376-1946139645
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/1641767279139_3453
- /data/data/####/1641767279625_3453
- /data/data/####/1641767279829_3453
- /data/data/####/1641767280657_3453
- /data/data/####/1860029328695294487
- /data/data/####/19676310682035447696
- /data/data/####/1967631068376189537
- /data/data/####/358055900-1201948976
- /data/data/####/3580559001433760053
- /data/data/####/418933710375385210
- /data/data/####/47178201077263.0
- /data/data/####/5255446071572794549
- /data/data/####/CookiePrefsFile.xml
- /data/data/####/CookiePrefsFile.xml.bak
- /data/data/####/F7Za5ORDK_nyiWDdNKcitzq51IQ.1947772071.tmp
- /data/data/####/HXnbDMUAmG2F-d_eUxLJD8qxqWM.1232736806.tmp
- /data/data/####/HXnbDMUAmG2F-d_eUxLJD8qxqWM.cnt
- /data/data/####/LDxmDI9emFaI_2izBkAAmLH1E_4.1292071466.tmp
- /data/data/####/OLn6r-6HJAt981IL8Sx4ht8JYEM.2032548181.tmp
- /data/data/####/SnROR6IjiBZmhvM8ADCFgN1JBpU.cnt
- /data/data/####/TD_app_pefercen_profile.xml
- /data/data/####/TDpref_longtime.xml
- /data/data/####/TDpref_longtime1.xml
- /data/data/####/TDpref_shorttime.xml
- /data/data/####/TDpref_shorttime1.xml
- /data/data/####/TDpref_shorttime1.xml.bak
- /data/data/####/W8Kv4x8cyZ3AtcVEez00nN-DwHM.cnt
- /data/data/####/alsn.db
- /data/data/####/alsn.db-journal
- /data/data/####/android_rn_1_0_2.zip
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.dex;classes3.dex
- /data/data/####/classes.dex;classes4.dex
- /data/data/####/com.juqitech.niumowang-journal
- /data/data/####/com.juqitech.niumowang_preferences.xml
- /data/data/####/com.sensorsdata.analytics.android.sdk.SensorsDa...ml.bak
- /data/data/####/com.sensorsdata.analytics.android.sdk.SensorsDataAPI.xml
- /data/data/####/core_info
- /data/data/####/dafile.db
- /data/data/####/dafile.db-journal
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f7jKD6eGrmzwU6EtxVayiTuYfSk.cnt
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/index.jsbundle
- /data/data/####/index.jsbundle.meta
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/libjiagu.so
- /data/data/####/location.json
- /data/data/####/loctemp.so
- /data/data/####/logdb.db
- /data/data/####/logdb.db-journal
- /data/data/####/mtl_system_prefs.xml
- /data/data/####/niuniu.xml
- /data/data/####/nmw-site.xml
- /data/data/####/nmwdb-journal
- /data/data/####/pref.xml
- /data/data/####/proc_auxv
- /data/data/####/q4qwZt3s6YbI5HCHVOTautkMEBs.cnt
- /data/data/####/resources_images_comment_comment_action.png
- /data/data/####/resources_images_comment_comment_empty_icon.png
- /data/data/####/resources_images_comment_comment_icon_default.png
- /data/data/####/resources_images_comment_comment_image_default.png
- /data/data/####/resources_images_comment_comment_navi_share.png
- /data/data/####/resources_images_comment_comment_praise_normal.png
- /data/data/####/resources_images_comment_comment_praise_selected.png
- /data/data/####/resources_images_comment_comment_praise_sequence_0.png
- /data/data/####/resources_images_comment_comment_praise_sequence_1.png
- /data/data/####/resources_images_comment_comment_praise_sequence_10.png
- /data/data/####/resources_images_comment_comment_praise_sequence_11.png
- /data/data/####/resources_images_comment_comment_praise_sequence_2.png
- /data/data/####/resources_images_comment_comment_praise_sequence_3.png
- /data/data/####/resources_images_comment_comment_praise_sequence_4.png
- /data/data/####/resources_images_comment_comment_praise_sequence_5.png
- /data/data/####/resources_images_comment_comment_praise_sequence_6.png
- /data/data/####/resources_images_comment_comment_praise_sequence_7.png
- /data/data/####/resources_images_comment_comment_praise_sequence_8.png
- /data/data/####/resources_images_comment_comment_praise_sequence_9.png
- /data/data/####/resources_images_comment_comment_prefer.png
- /data/data/####/resources_images_comment_comment_share.png
- /data/data/####/resources_images_comment_comment_show_shadow.png
- /data/data/####/resources_images_order_order_invite_friends_act...es.png
- /data/data/####/resources_images_order_order_invite_friends_header.png
- /data/data/####/resources_images_order_order_licence_icon.png
- /data/data/####/resources_images_order_order_share_info_bg.png
- /data/data/####/resources_images_order_order_success_giving_bg.png
- /data/data/####/resources_images_order_order_success_giving_line.png
- /data/data/####/resources_images_order_order_success_icon.png
- /data/data/####/resources_images_order_order_success_snapup_icon.png
- /data/data/####/resources_images_order_share_type_circle.png
- /data/data/####/resources_images_order_share_type_friend.png
- /data/data/####/resources_images_show_artist_icon_support_vip.png
- /data/data/####/resources_images_show_artist_show_artist_empty_icon.png
- /data/data/####/resources_images_show_artist_show_artist_follow.png
- /data/data/####/resources_images_show_pgc_vip.png
- /data/data/####/resources_images_show_show_discount_bg.png
- /data/data/####/resources_images_show_show_empty_icon.png
- /data/data/####/resources_images_show_show_list_ad.png
- /data/data/####/resources_images_show_show_poster_shadow.png
- /data/data/####/resources_images_snapup_snapup_order_appending_btn_bg.png
- /data/data/####/resources_images_snapup_snapup_order_detail_header_bg.png
- /data/data/####/resources_images_snapup_snapup_order_invite_people.png
- /data/data/####/resources_images_snapup_snapup_order_list_empty_icon.png
- /data/data/####/resources_images_snapup_snapup_order_speed.png
- /data/data/####/resources_images_snapup_snapup_speed_fast.png
- /data/data/####/resources_images_snapup_snapup_speed_normal.png
- /data/data/####/resources_images_snapup_snapup_speed_progress.png
- /data/data/####/resources_images_snapup_snapup_speed_slow.png
- /data/data/####/resources_images_snapup_snapup_white_speed_fast.png
- /data/data/####/resources_images_snapup_snapup_white_speed_normal.png
- /data/data/####/resources_images_snapup_snapup_white_speed_slow.png
- /data/data/####/resources_images_starter_app_logo.png
- /data/data/####/resources_images_starter_back.png
- /data/data/####/resources_images_starter_back_w.png
- /data/data/####/resources_images_starter_close_sm.png
- /data/data/####/resources_images_starter_default_icon.png
- /data/data/####/resources_images_starter_disclosure.png
- /data/data/####/resources_images_starter_mark_icon.png
- /data/data/####/resources_images_starter_postimg_vertical_default.png
- /data/data/####/resources_images_starter_question_mark.png
- /data/data/####/resources_images_starter_share_w.png
- /data/data/####/resources_images_starter_star_0.png
- /data/data/####/resources_images_starter_star_1.png
- /data/data/####/resources_images_starter_star_2.png
- /data/data/####/resources_images_starter_starter_customer.png
- /data/data/####/resources_images_starter_warning.png
- /data/data/####/resources_images_user_award_point_bg.png
- /data/data/####/resources_images_user_award_point_empty.png
- /data/data/####/resources_images_user_award_point_expire_triangle.png
- /data/data/####/resources_images_user_award_point_guide_indicator.png
- /data/data/####/resources_images_user_award_point_icon.png
- /data/data/####/sensorsdata.xml
- /data/data/####/tbs_download_config.xml
- /data/data/####/tbs_download_config.xml.bak
- /data/data/####/tbs_download_stat.xml
- /data/data/####/tbscoreinstall.txt
- /data/data/####/tbslock.txt
- /data/data/####/tdid.xml
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/vvNBHSOqDJkEUBzXgOa38pSk1EU.1000590577.tmp
- /data/data/####/wvZoHxqzZ1G9pHSNJe-V0L1ZBtA.540584663.tmp
- /data/data/####/y7-eb_s3dn7YEZ3BFt_ON6BNOM0.2019590524.tmp
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- getprop
- getprop ro.product.cpu.abi
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- DES-CBC-PKCS5Padding
- RSA-ECB-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- DES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Управляет Wi-Fi-подключением.
Запрашивает разрешение на отображение системных уведомлений.
