Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.840.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) r1---sn####.g####.com:443
- TCP(TLS/1.0) stati####.cm.j####.com:443
- TCP(TLS/1.0) f####.j####.cn:443
- TCP(TLS/1.0) bj####.j####.cn:443
- TCP(TLS/1.0) 2####.58.208.202:443
- TCP(TLS/1.0) co####.j####.cn:443
- TCP(TLS/1.0) md####.google####.com:443
- TCP(TLS/1.0) config-####.j####.cn:443
- TCP(TLS/1.0) ce3e####.j####.cn:443
- TCP(TLS/1.0) ali-s####.j####.cn:443
- TCP(TLS/1.0) connect####.gst####.com:443
- TCP(TLS/1.0) t####.j####.cn:443
- TCP(TLS/1.2) 2####.58.208.202:443
- TCP(TLS/1.2) 1####.217.16.42:443
- TCP(TLS/1.2) 1####.250.203.206:443
- TCP(TLS/1.2) 1####.250.203.202:443
- TCP(TLS/1.2) 1####.217.16.46:443
- TCP 43.2####.88.114:7003
- TCP api-####.cm.j####.com:443
- UDP easytom####.com:19000
Запросы DNS:
- ali-s####.j####.cn
- api-####.cm.j####.com
- bj####.j####.cn
- ce3e####.j####.cn
- co####.j####.cn
- config-####.j####.cn
- connect####.gst####.com
- easytom####.com
- f####.j####.cn
- gd-s####.j####.cn
- md####.google####.com
- open-####.jpu####.com
- r1---sn####.g####.com
- s.j####.cn
- sis.j####.io
- stati####.cm.j####.com
- t####.j####.cn
- www.gst####.com
Запросы HTTP POST:
- ce3e####.j####.cn:443/wi/op8jdu
- ce3e####.j####.cn:443/wi/sm2cg
- co####.j####.cn:443/v1/status
- stati####.cm.j####.com:443/api/Collect/GetCollectSetting?AppID=####&Sign...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/0149bb58-0110-4d3b-af36-48a963aa8fe0
- /data/data/####/177ca107-1082-4fb4-b2bf-76ef39a8370c
- /data/data/####/2145188357697.0
- /data/data/####/21adf964-ad62-49d6-91d6-d74a188c5653
- /data/data/####/31ad56ff243441b85236e7578b3abb74.0
- /data/data/####/64049bac-3465-4d27-90e4-385b003b5492
- /data/data/####/IpInfos.xml
- /data/data/####/Push_Page_Config.xml
- /data/data/####/Web Data-journal
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/alsn20170807.db
- /data/data/####/alsn20170807.db-journal
- /data/data/####/ba82889f-8b12-4243-8986-5a9090e64f3e
- /data/data/####/bac.catch
- /data/data/####/bal.catch
- /data/data/####/ban.catch
- /data/data/####/bwc.catch
- /data/data/####/cn.jiguang.analytics_push.xml
- /data/data/####/cn.jiguang.common.xml
- /data/data/####/cn.jiguang.common.xml.bak
- /data/data/####/cn.jiguang.prefs.xml
- /data/data/####/cn.jiguang.prefs.xml.bak
- /data/data/####/cn.jiguang.sdk.address.xml
- /data/data/####/cn.jiguang.sdk.report.xml
- /data/data/####/cn.jiguang.sdk.user.profile.xml
- /data/data/####/cn.jiguang.sdk.user.profile.xml.bak
- /data/data/####/cn.jpush.android.user.profile.xml
- /data/data/####/cn.jpush.config.xml
- /data/data/####/cn.jpush.preferences.v2.rid.xml
- /data/data/####/cn.jpush.preferences.v2.xml
- /data/data/####/crash_dump.log
- /data/data/####/d697f1d3-ddb4-4a1c-85b9-9ed73452c1d5
- /data/data/####/da5d96e1-5899-430a-b24f-e7124c1ff39b
- /data/data/####/data.xml
- /data/data/####/dso_deps
- /data/data/####/dso_lock
- /data/data/####/dso_manifest
- /data/data/####/dso_state
- /data/data/####/e2aea0d4a4fb1b90ba01bdac2fc4a2c0.0
- /data/data/####/hmdb
- /data/data/####/hmdb-journal
- /data/data/####/i30ec1e6503cc187f
- /data/data/####/ijm_ifr.xml
- /data/data/####/ijm_sharedecryption.xml
- /data/data/####/journal
- /data/data/####/jpush_local_notification.db
- /data/data/####/jpush_local_notification.db-journal
- /data/data/####/jpush_local_notification.db-journal (deleted)
- /data/data/####/jpush_local_notification.db-wal
- /data/data/####/k.store
- /data/data/####/libexec.so
- /data/data/####/libexecmain.so
- /data/data/####/libijmDataEncryption.so
- /data/data/####/libweexjsb.so
- /data/data/####/metrics_guid
- /data/data/####/mipush_country_code
- /data/data/####/mipush_country_code.lock
- /data/data/####/mipush_region
- /data/data/####/mipush_region.lock
- /data/data/####/name
- /data/data/####/name-journal
- /data/data/####/pref1.xml
- /data/data/####/proc_auxv
- /data/data/####/rl.catch
- /data/data/####/stat_db
- /data/data/####/stat_db-journal
- /data/data/####/webview_data.lock
- /data/data/####/weex_default_settings.xml
Другие:
Запускает следующие shell-скрипты:
- <Package>:jse 45 46 1 /data/user/0/<Package>/app_crash/crash_dump.log
- getprop ro.product.cpu.abi
- libfakedyn_x86.so 45
- ps
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- RSA-ECB-OAEPWithSHA256AndMGF1Padding
- RSA-ECB-PKCS1Padding
- RSA-None-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
