Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Was.1.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) a.da####.com:9127
- TCP(HTTP/1.1) g####.62####.com:8001
- TCP(TLS/1.0) 1####.217.168.234:443
- TCP(TLS/1.0) and####.a####.go####.com:443
- TCP(TLS/1.0) googl####.g.doublec####.net:443
- TCP(TLS/1.0) p####.google####.com:443
- TCP(TLS/1.0) 1####.250.179.202:443
- TCP(TLS/1.0) 1####.217.168.238:443
- TCP(TLS/1.0) firebas####.google####.com:443
- TCP(TLS/1.0) c####.cloudf####.com:443
- TCP(TLS/1.0) api.gamead####.com:443
- TCP(TLS/1.2) 1####.217.168.238:443
- TCP(TLS/1.2) 1####.217.168.195:443
- TCP(TLS/1.2) 1####.217.168.234:443
- TCP firebas####.crashly####.com:443
Запросы DNS:
- a.da####.com
- and####.a####.go####.com
- api.gamead####.com
- c####.cloudf####.com
- firebas####.crashly####.com
- firebas####.google####.com
- g####.62####.com
- googl####.g.doublec####.net
- m####.go####.com
- p####.google####.com
Запросы HTTP GET:
- a.da####.com:9127/ll/gs?baseversion=####&version=####&channel=####&appid...
Запросы HTTP POST:
- a.da####.com:9127/ll//uu?t=####
- firebas####.google####.com:443/v1/projects/gameproject-833e1/installations
- g####.62####.com:8001/addNewApp
- g####.62####.com:8001/gameState
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.ae1648921638067
- /data/data/####/.cl
- /data/data/####/.jg.ic
- /data/data/####/.jg.store.report_cf
- /data/data/####/1
- /data/data/####/1561154238473.dex
- /data/data/####/1561154238473.dex.flock (deleted)
- /data/data/####/1561154238473.jar
- /data/data/####/1561154238473.tmp
- /data/data/####/161adb42c9844adf_0
- /data/data/####/161adb42c9844adf_1
- /data/data/####/17578676c2fb9c3d_0
- /data/data/####/2
- /data/data/####/20
- /data/data/####/21a39255b1cb563e_0
- /data/data/####/3
- /data/data/####/4ade02d53c941f31_0
- /data/data/####/62488C1401DA-0001-0E27-EFD7BBAE515A.cls
- /data/data/####/62488C1401DA-0001-0E27-EFD7BBAE515ABeginSession.cls
- /data/data/####/62488C1401DA-0001-0E27-EFD7BBAE515ASessionApp.cls
- /data/data/####/62488C1401DA-0001-0E27-EFD7BBAE515ASessionCrash.cls
- /data/data/####/62488C1401DA-0001-0E27-EFD7BBAE515ASessionDevice.cls_temp
- /data/data/####/62488C1401DA-0001-0E27-EFD7BBAE515ASessionOS.cls
- /data/data/####/62488C1401DA-0001-0E27-EFD7BBAE515ASessionUser.cls
- /data/data/####/62488C1401DA00010E27EFD7BBAE515A
- /data/data/####/62488C2803A1-0002-0E27-EFD7BBAE515ABeginSession.cls_temp
- /data/data/####/62488C2803A1-0002-0E27-EFD7BBAE515ASessionApp.cls
- /data/data/####/62488C2803A1-0002-0E27-EFD7BBAE515ASessionDevice.cls
- /data/data/####/62488C2803A1-0002-0E27-EFD7BBAE515ASessionOS.cls
- /data/data/####/62eda3c8d4f35bcb_0
- /data/data/####/67907a715e3a44d6_0
- /data/data/####/6e8b58aa4b4f7725_0
- /data/data/####/7556c1835650e1d4_0
- /data/data/####/78bfbbc49613b3f7_0
- /data/data/####/Cocos2dxPrefsFile.xml
- /data/data/####/Cookies-journal
- /data/data/####/FirebaseAppHeartBeat.xml
- /data/data/####/PersistedInstallation.W0RFRkFVTFRd+MToyOTQ5MTQx...k.json
- /data/data/####/PersistedInstallation1987367059tmp
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/a4924b32c9d742ea_0
- /data/data/####/a4924b32c9d742ea_1
- /data/data/####/a81864c8a5d2d8d9_0
- /data/data/####/a81864c8a5d2d8d9_1
- /data/data/####/admob.xml
- /data/data/####/admob_user_agent.xml
- /data/data/####/b6f4678b29f1841a_0
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cheuu
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.oat
- /data/data/####/com.crashlytics.settings.json
- /data/data/####/com.google.android.datatransport.events-journal
- /data/data/####/com.google.android.gms.appid-no-backup
- /data/data/####/com.google.android.gms.measurement.prefs.xml
- /data/data/####/com.google.firebase.crashlytics.xml
- /data/data/####/com.lionroar.animaldentist.gtx_preferences.xml
- /data/data/####/crash_marker
- /data/data/####/crashlytics-userlog-62488C1401DA-0001-0E27-EFD7...A.temp
- /data/data/####/dfe6b2497a7513ba_0
- /data/data/####/e0fb1198118ac336_0
- /data/data/####/event0000000000_
- /data/data/####/f038e94cb33282ab_0
- /data/data/####/generatefid.lock
- /data/data/####/google_app_measurement.db-journal
- /data/data/####/google_app_measurement_local.db
- /data/data/####/google_app_measurement_local.db-journal
- /data/data/####/https_googleads.g.doubleclick.net_0.localstorage-journal
- /data/data/####/index
- /data/data/####/initialization_marker
- /data/data/####/libjiagu.so
- /data/data/####/metrics_guid
- /data/data/####/proc_auxv
- /data/data/####/report
- /data/data/####/temp-index
- /data/data/####/the-real-index
- /data/data/####/tmd
- /data/data/####/tv
- /data/data/####/umeng_general_config.xml
- /data/data/####/uuloi
- /data/data/####/vva
- /data/data/####/vva.dex
- /data/data/####/vva.dex.flock (deleted)
- /data/data/####/vva.jar
- /data/data/####/yg_cache_prefs.xml
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- cat /sys/class/net/wlan0/address
Загружает динамические библиотеки:
- libMyGame
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
