Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.840.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- UDP(NTP) 2.and####.p####.####.org:123
- TCP(TLS/1.0) st####.dc####.net.cn:443
- TCP(TLS/1.0) 2####.58.208.202:443
- TCP(TLS/1.0) rr2---s####.g####.com:443
- TCP(TLS/1.0) ac1.dc####.net.cn:443
- TCP(TLS/1.0) ti####.c####.l####.####.com:443
- TCP(TLS/1.0) p####.google####.com:443
- TCP(TLS/1.0) 2####.58.209.10:443
- TCP(TLS/1.0) rr6---s####.g####.com:443
- TCP(TLS/1.0) rr4---s####.g####.com:443
- TCP(TLS/1.0) rr5---s####.g####.com:443
- TCP(TLS/1.0) sdk-ope####.g####.com:443
- TCP(TLS/1.0) c-h####.g####.com:443
- TCP(TLS/1.2) 1####.217.20.174:443
- TCP(TLS/1.2) 2####.58.209.3:443
- TCP(TLS/1.2) 2####.58.208.202:443
- UDP p####.google####.com:443
- UDP 2####.58.208.202:443
- TCP cm-1####.g####.com:5225
- UDP rr6---s####.g####.com:443
- TCP sdk.o####.t####.####.com:5224
Запросы DNS:
- 2.and####.p####.####.org
- ac1.dc####.net.cn
- c-h####.g####.com
- cm-1####.g####.com
- cm-1####.g####.com
- gtc.g####.net
- p####.google####.com
- rr2---s####.g####.com
- rr4---s####.g####.com
- rr5---s####.g####.com
- rr6---s####.g####.com
- sdk-####.g####.com
- sdk-ope####.g####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- st####.dc####.net.cn
Запросы HTTP POST:
- ac1.dc####.net.cn:443/advert/splash
- c-h####.g####.com:443/api.php?format=####&t=####
- st####.dc####.net.cn:443/collect/crash
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.DC4278477faeb9.txt
- /data/data/####/.cl
- /data/data/####/.fsgkea
- /data/data/####/.jg.ac
- /data/data/####/.jg.ri
- /data/data/####/.jg.store.report_pid
- /data/data/####/1999cfc40264af7b2f8e7e41e442c889
- /data/data/####/1eeede5a0d2d2e027b262c27b45073d1
- /data/data/####/26e18ae12e0a19f19fa59a3435df47db
- /data/data/####/2c6cda311a6368c2f9b93fcba1ce3a9e
- /data/data/####/37e4e07ed0e08ba12c01b8a71bb3ed54
- /data/data/####/3bb040b75bf7acedc8358df3391bb2d8
- /data/data/####/48781BFA96C701DD12BC2B4C3ACB9415
- /data/data/####/552e2301524df27561e18830895c1270
- /data/data/####/573309a6b1e59265f471f7082eea9bec
- /data/data/####/587e0e6f6bc4c32be1c2bc3a01515057
- /data/data/####/5dd14fab090f04519da5578f8b7ccd52
- /data/data/####/60c6d66e2527c7a0983ea5a3e4db164d
- /data/data/####/642cedff2a0f49c5a19d4edf842049c9
- /data/data/####/65@3x.png
- /data/data/####/6bf803e8140e062049020268ad263d0f
- /data/data/####/6edc3e639e8b87acdae85b5193d810e8
- /data/data/####/6ffde6332bd1952e536b19d525746b48
- /data/data/####/97282B278E5D51866F8E57204E4820E5
- /data/data/####/9b04887b2f5794b0fd04c137366cc8ac
- /data/data/####/Cookies-journal
- /data/data/####/E0ABA531044C06F9BF70DF99519D9636
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/__UNI__1996EFD.xml
- /data/data/####/__UNI__1996EFD_storages.xml
- /data/data/####/__uniappchooselocation.js
- /data/data/####/__uniapperror.png
- /data/data/####/__uniappes6.js
- /data/data/####/__uniappopenlocation.js
- /data/data/####/__uniapppicker.js
- /data/data/####/__uniappquill.js
- /data/data/####/__uniappquillimageresize.js
- /data/data/####/__uniappscan.js
- /data/data/####/__uniappsuccess.png
- /data/data/####/__uniappview.html
- /data/data/####/_adio.dcloud.feature.ad.dcloud.ADHandler.xml
- /data/data/####/a3f2e20d61eeff362a27513e985507e3
- /data/data/####/app-config-service.js
- /data/data/####/app-config.js
- /data/data/####/app-service.js
- /data/data/####/app-view.js
- /data/data/####/arrow_downl_gray_ful.png
- /data/data/####/arrow_left_back.png
- /data/data/####/arrow_right_white.png
- /data/data/####/b18126807b8949688eea06e79fd8509c
- /data/data/####/b479a77c05503ea2708c86cffd544728
- /data/data/####/bankIndex.js
- /data/data/####/bank_index_index_caution.png
- /data/data/####/bank_index_mine.png
- /data/data/####/bank_index_shop.png
- /data/data/####/bank_mine_about.png
- /data/data/####/bank_mine_allocate.png
- /data/data/####/bank_mine_am.png
- /data/data/####/bank_mine_service.png
- /data/data/####/bank_mine_set.png
- /data/data/####/cg.db-journal
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.dex;classes3.dex
- /data/data/####/classes.dex;classes4.dex
- /data/data/####/clientid_unipush.xml
- /data/data/####/com.ss.shopbankthrough_preferences.xml
- /data/data/####/com.vivo.push_preferences.appconfig_v1.xml
- /data/data/####/com.vivo.push_preferences.xml
- /data/data/####/crash_dump.log
- /data/data/####/cross_black.png
- /data/data/####/cross_gray_full.png
- /data/data/####/d02a0362fd6f55cdb38e5d1a9a0541c5
- /data/data/####/d9817d1c761d8d4fe86a8d2f45edc817
- /data/data/####/dataCell.scss
- /data/data/####/data_bg.png
- /data/data/####/data_screen.png
- /data/data/####/data_shop.png
- /data/data/####/dcloud_phone_read_state.xml
- /data/data/####/del.png
- /data/data/####/device_scan.png
- /data/data/####/device_sound.png
- /data/data/####/dff0c5c14789bb9b74fa1b7d84569a53
- /data/data/####/dim.db-journal
- /data/data/####/dso_deps
- /data/data/####/dso_lock
- /data/data/####/dso_manifest
- /data/data/####/dso_state
- /data/data/####/e4481b6ce1576c40fe22b3153bbb917b
- /data/data/####/e6f3b0317d4d5bf1170fef8e8296db6b
- /data/data/####/earnings_bill_bg.png
- /data/data/####/earnings_date.png
- /data/data/####/eje3cnc
- /data/data/####/f0ef602265a06e1b8135f6e446c3bdbf
- /data/data/####/fe57cd5f8ac16c7de4d72a54355f06cb
- /data/data/####/getui_sp.xml
- /data/data/####/grp.prop
- /data/data/####/gtc3.db-journal
- /data/data/####/icon-no-data.png
- /data/data/####/index_apply_bank_card.png
- /data/data/####/index_bg.png
- /data/data/####/index_caution.png
- /data/data/####/index_create_merchant.png
- /data/data/####/index_earnings_statistics.png
- /data/data/####/index_information.png
- /data/data/####/index_label_Summary.png
- /data/data/####/index_label_new.png
- /data/data/####/index_label_tools.png
- /data/data/####/index_my_merchant.png
- /data/data/####/index_my_team.png
- /data/data/####/index_review.png
- /data/data/####/index_subordinate_merchant.png
- /data/data/####/index_warning.png
- /data/data/####/init_c1.pid
- /data/data/####/jseicublob-1
- /data/data/####/libjiagu.so
- /data/data/####/libweexjsb.so
- /data/data/####/location1.png
- /data/data/####/login_lock.png
- /data/data/####/login_phone.png
- /data/data/####/logo.png
- /data/data/####/manifest.json
- /data/data/####/metrics_guid
- /data/data/####/pdr.xml
- /data/data/####/proc_auxv
- /data/data/####/pushsdk.db-journal
- /data/data/####/shopMap.js
- /data/data/####/weex_default_settings.xml
- /data/media/####/.DC4278477faeb9.txt
- /data/media/####/2022-03-26.log.txt
- /data/media/####/AdEnable.dat
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.ss.shopbankthrough.bin
- /data/media/####/com.ss.shopbankthrough.db
- /data/media/####/crash_1648266906879_2022-03-26-06-55-06.log
- /data/media/####/crash_1648266907315_2022-03-26-06-55-07.log
- /data/media/####/crash_1648266912978_2022-03-26-06-55-12.log
- /data/media/####/crash_1648266913116_2022-03-26-06-55-13.log
- /data/media/####/crash_1648266913329_2022-03-26-06-55-13.log
- /data/media/####/crash_1648266919423_2022-03-26-06-55-19.log
- /data/media/####/crash_1648266919521_2022-03-26-06-55-19.log
- /data/media/####/crash_1648266926806_2022-03-26-06-55-26.log
- /data/media/####/crash_1648266926846_2022-03-26-06-55-26.log
- /data/media/####/crash_1648266927047_2022-03-26-06-55-27.log
- /data/media/####/crash_1648266932278_2022-03-26-06-55-32.log
- /data/media/####/crash_1648266932644_2022-03-26-06-55-32.log
- /data/media/####/crash_1648266939383_2022-03-26-06-55-39.log
- /data/media/####/crash_1648266939613_2022-03-26-06-55-39.log
- /data/media/####/crash_1648266939630_2022-03-26-06-55-39.log
- /data/media/####/crash_1648266945800_2022-03-26-06-55-45.log
- /data/media/####/crash_1648266951568_2022-03-26-06-55-51.log
- /data/media/####/crash_1648266957444_2022-03-26-06-55-57.log
- /data/media/####/crash_1648266963424_2022-03-26-06-56-03.log
- /data/media/####/crash_1648266971230_2022-03-26-06-56-11.log
- /data/media/####/crash_1648266979943_2022-03-26-06-56-19.log
- /data/media/####/crash_1648266987511_2022-03-26-06-56-27.log
- /data/media/####/test.log (deleted)
- /data/misc/####/primary.prof
- /data/user_de/####/move_to_de_records.xml
Другие:
Запускает следующие shell-скрипты:
- /system/lib/arm/houdini /data/app/<Package>-1/lib/arm//libweexjsb.so <Package>:jse 46 89 1 /data/user/0/<Package>/app_crash/crash_dump.log
- /system/lib/arm/houdini /data/app/<Package>-1/lib/arm//libweexjsb.so <Package>:jse 52 53 1 /data/user/0/<Package>/app_crash/crash_dump.log
- /system/lib/arm/houdini /data/app/<Package>-1/lib/arm//libweexjsb.so <Package>:jse 53 54 1 /data/user/0/<Package>/app_crash/crash_dump.log
- /system/lib/arm/houdini /data/app/<Package>-1/lib/arm//libweexjsb.so <Package>:jse 58 59 1 /data/user/0/<Package>/app_crash/crash_dump.log
- getprop ro.miui.ui.version.code
- getprop ro.miui.ui.version.name
- stat -c %x /data/data
Загружает динамические библиотеки:
- libc++_shared
- libgetuiext3
- libjiagu
- libweexcore
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-CFB-NoPadding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- RSA-ECB-PKCS1Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
