Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.300.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) bbq.aa####.cn:80
- TCP(HTTP/1.1) cloudin####.com:80
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.0) kvinit-####.api.koc####.com:443
- TCP(TLS/1.0) 1####.251.39.110:443
- TCP(TLS/1.0) b2.cdn.x####.top:443
- TCP(TLS/1.0) d####.fl####.com:443
- TCP(TLS/1.0) 1####.217.168.202:443
- TCP(TLS/1.0) con####.koc####.com:443
- TCP(TLS/1.0) 1####.250.179.202:443
- TCP(TLS/1.2) 1####.250.179.174:443
- TCP(TLS/1.2) 2####.58.208.99:443
- TCP(TLS/1.2) 1####.217.168.202:443
- TCP bbq.aa####.cn:6666
Запросы DNS:
- and####.google####.com
- b2.b####.ovh
- bbq.aa####.cn
- cloudin####.com
- con####.koc####.com
- d####.fl####.com
- kvinit-####.api.koc####.com
- sett####.crashly####.com
- sett####.crashly####.com.####.8
- ws.bgn####.com
Запросы HTTP GET:
- b2.cdn.x####.top:443/imgs/2019/07/182412c137cf6eaf.png
Запросы HTTP POST:
- bbq.aa####.cn/classes.dex
- cloudin####.com/cloudinject/register/ANDROID/1.0?serverNo=####&version_n...
- con####.koc####.com:443/track/json
- d####.fl####.com:443/aap.do
- kvinit-####.api.koc####.com:443/track/kvinit
Изменения в файловой системе:
Создает следующие файлы:
- /data/dalvik-cache/####/system@framework@am.jar@classes.dex
- /data/dalvik-cache/####/system@framework@am.jar@classes.dex.flo...leted)
- /data/data/####/.YFlurrySenderIndex.info.AnalyticsData_MQ3THRDQ...3M_281
- /data/data/####/.YFlurrySenderIndex.info.AnalyticsMain
- /data/data/####/.jgck
- /data/data/####/.yflurrydatasenderblock.80cc6299-84c8-4050-83cc...0e1774
- /data/data/####/.yflurrydatasenderblock.a9865c63-84af-4311-8c6c...70fb5f
- /data/data/####/.yflurrydatasenderblock.d42395b2-a895-4a35-a559...78d3aa
- /data/data/####/.yflurryreport.351515ec891f56bc
- /data/data/####/.yflurryreport.351515ec891f56bc (deleted)
- /data/data/####/61DE743F030E-0001-0D31-255897981B9ABeginSession.cls
- /data/data/####/61DE743F030E-0001-0D31-255897981B9ASessionApp.cls_temp
- /data/data/####/61DE743F030E-0001-0D31-255897981B9ASessionDevice.cls
- /data/data/####/61DE743F030E-0001-0D31-255897981B9ASessionOS.cls
- /data/data/####/61DE745D0250-0001-0F2E-255897981B9ABeginSession.cls_temp
- /data/data/####/61DE745D0250-0001-0F2E-255897981B9ASessionApp.cls
- /data/data/####/61DE745D0250-0001-0F2E-255897981B9ASessionCrash.cls
- /data/data/####/61DE745D0250-0001-0F2E-255897981B9ASessionDevice.cls
- /data/data/####/61DE745D0250-0001-0F2E-255897981B9ASessionOS.cls
- /data/data/####/61DE745D0250-0001-0F2E-255897981B9ASessionUser.cls
- /data/data/####/61DE7492024E-0002-0F2E-255897981B9ABeginSession.cls
- /data/data/####/61DE7492024E-0002-0F2E-255897981B9ASessionApp.cls
- /data/data/####/61DE7492024E-0002-0F2E-255897981B9ASessionDevice.cls
- /data/data/####/61DE7492024E-0002-0F2E-255897981B9ASessionOS.cls
- /data/data/####/FLURRY_SHARED_PREFERENCES.xml
- /data/data/####/FirstRun
- /data/data/####/GAMES_DB-journal
- /data/data/####/NEW_APP_PACKS-journal
- /data/data/####/NEW_GAMES_DB-journal
- /data/data/####/NOT_GAME_DB-journal
- /data/data/####/REMOVED_GAMES_DB-journal
- /data/data/####/TwitterAdvertisingInfoPreferences.xml
- /data/data/####/androidx.work.workdb-journal
- /data/data/####/classes.dex
- /data/data/####/classes.dex (deleted)
- /data/data/####/classes.dex.flock (deleted)
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.dex;classes3.dex
- /data/data/####/classes.oat
- /data/data/####/com.burakgon.gamebooster3_preferences.xml
- /data/data/####/com.crashlytics.prefs.xml
- /data/data/####/com.crashlytics.sdk.android.crashlytics-core;co...re.xml
- /data/data/####/com.crashlytics.sdk.android;answers;settings.xml
- /data/data/####/com.google.android.gms.appid-no-backup
- /data/data/####/com.google.android.gms.measurement.prefs.xml
- /data/data/####/com.google.android.gms.measurement.prefs.xml.bak
- /data/data/####/conf.xml
- /data/data/####/crash_marker
- /data/data/####/initialization_marker
- /data/data/####/installationNum
- /data/data/####/kodb
- /data/data/####/kodb-journal
- /data/data/####/koov.xml
- /data/data/####/kosp.xml
- /data/data/####/kosp.xml.bak
- /data/data/####/libjiagu.so
- /data/data/####/libjiagu_64.so
- /data/data/####/sa_0af85591-d03b-4025-9162-ad8f67856bb7_1641968713924.tap
- /data/data/####/sa_2bcfda05-f2cd-427c-8c84-5de96320ad43_1641968736249.tap
- /data/data/####/sa_45601539-9b31-462c-9257-6e5686a39959_1641968748320.tap
- /data/data/####/sa_76a66bb9-836d-45a6-b06b-f89c52655d4f_1641968741969.tap
- /data/data/####/sa_cfdc090c-d663-49ad-816b-5a7dab5c15e4_1641968753732.tap
- /data/data/####/sa_d6c47490-60d9-4dfc-b283-73dbf7487568_1641968764464.tap
- /data/data/####/session_analytics.tap
- /data/data/####/session_analytics.tap (deleted)
- /data/data/####/session_analytics.tap.tmp
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/bin/log -p d -t su /dev/com.android.settings/.socket3568
- /system/bin/log -p d -t su /dev/com.android.settings/.socket4069
- /system/bin/log -p d -t su /dev/com.android.settings/.socket4449
- /system/bin/log -p d -t su child exited
- /system/bin/log -p d -t su client exited 1
- /system/bin/log -p d -t su connecting client 3495
- /system/bin/log -p d -t su connecting client 4044
- /system/bin/log -p d -t su connecting client 4406
- /system/bin/log -p d -t su remote args: 3
- /system/bin/log -p d -t su remote pid: 3495
- /system/bin/log -p d -t su remote pid: 4044
- /system/bin/log -p d -t su remote pid: 4406
- /system/bin/log -p d -t su remote pts_slave:
- /system/bin/log -p d -t su remote req pid: 3377
- /system/bin/log -p d -t su remote req pid: 3886
- /system/bin/log -p d -t su remote uid: 10065
- /system/bin/log -p d -t su sending code
- /system/bin/log -p d -t su starting daemon client 10065 10065
- /system/bin/log -p d -t su su invoked.
- /system/bin/log -p d -t su waiting for child exit
- /system/bin/log -p e -t su select failed with 2: No such file or directory
- /system/bin/log -p e -t su sqlite3 open /data/user_de/0/com.android.settings/databases/su.sqlite failure: 14
- /system/bin/log -p w -t su request rejected (10065->0 id)
- su -c id
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
Использует повышенные привилегии.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
