Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.SmsSend.2156.origin
Детект на основе машинного обучения.
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(TLS/1.0) dgr.dgzcdka####.com:443
- TCP(TLS/1.0) jys####.oss-cn-####.aliy####.com:443
- TCP(TLS/1.0) vi####.hefeiqu####.com.####.com:443
- TCP(TLS/1.0) 1####.194.222.95:443
- TCP(TLS/1.0) p####.google####.com:443
- TCP(TLS/1.0) and####.a####.go####.com:443
- TCP(TLS/1.0) rr1---s####.g####.com:443
- TCP(TLS/1.0) rr2---s####.g####.com:443
- TCP(TLS/1.0) gmscomp####.google####.com:443
- TCP(TLS/1.0) res.czdxgbh####.com:443
- TCP(TLS/1.2) and####.a####.go####.com:443
- TCP(TLS/1.2) gmscomp####.google####.com:443
- TCP(TLS/1.2) 1####.250.150.94:443
- UDP 1####.194.222.95:443
- UDP gmscomp####.google####.com:443
- UDP rr1---s####.g####.com:443
- UDP rr2---s####.g####.com:443
Запросы DNS:
- and####.a####.go####.com
- and####.google####.com
- api.889####.com
- gmscomp####.google####.com
- jys####.oss-cn-####.aliy####.com
- m####.go####.com
- p####.google####.com
- res.czdxgbh####.com
- rr1---s####.g####.com
- rr2---s####.g####.com
- vi####.hefeiqu####.com
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.appInfo
- /data/data/####/.hptc.cache_ztud.rhnvhmazdq
- /data/data/####/CAZAAAACA4AAAAYAAAAAAAAAAAAQAAAACMAACAA4AAIQAEY...YACYAA
- /data/data/####/CAZAAAACAUAABEAAAAABGAABAAOAAAYABQAEIAAAAAAAAAA...OAAWAA
- /data/data/####/CAZAAAACAYAAAAAIAAABGAABAD7777777777777777776FA...EABMAA
- /data/data/####/CAZAAAACAYAABAAIAAABGAABAD777777777777YZAAAAAFA...EABMAA
- /data/data/####/CAZAAAACAYAABEAJAAABGAABAAOAAEIA777777YZAAAAAFA...EABMAA
- /data/data/####/CAZAAAACBAAAAAAAAAACKAAAAAJQAAIA7777777777776EY...QAFQAA
- /data/data/####/CAZAAAECA4AAAAAAAAABGAABAAOAAEIACUAAGAH77777777...YAAWAA
- /data/data/####/CAZAAAECA4AAAAAAAAAEOAQAAAJQAAIA777777Y4AAIQB77...YAAWAA
- /data/data/####/CAZAAAECA4AAAAAAAEABGAABAAOAAEIACUAAGAH77777777...YAAWAA
- /data/data/####/CAZAAAECA4AAAAIAAAABGAABAAOAAEIACUAAGAH77777777...YAAWAA
- /data/data/####/CAZAAAECAUAAAAAAAAABGAABAAOAAEIADQAAGAAQABNAAAA...AAFQAA
- /data/data/####/CAZAAAECAUAAAEYAAEABYAARAANQAAQAAAAAAAAMABEQAAA...AAFQAA
- /data/data/####/CAZAAAECAYAAAAAAAAAACAAAAAJQAAIADQABCAATAAKAAAA...AALAAA
- /data/data/####/CAZAAAMCBEAAAAAAAAAEOAAAAAJQAAIA777777Y4AAIQB77...AACYAA
- /data/data/####/CAZAAAMCBEAAAAAAAAAEOAQAAAJQAAIA777777Y4AAIQB77...AACYAA
- /data/data/####/FlutterSharedPreferences.xml
- /data/data/####/api.json
- /data/data/####/category_2_-1.webp
- /data/data/####/category_2_0.webp
- /data/data/####/category_2_1.webp
- /data/data/####/category_2_2.webp
- /data/data/####/category_2_3.webp
- /data/data/####/category_2_4.webp
- /data/data/####/category_2_5.webp
- /data/data/####/category_3_-1.webp
- /data/data/####/category_3_0.webp
- /data/data/####/category_3_1.webp
- /data/data/####/category_3_2.webp
- /data/data/####/category_3_3.webp
- /data/data/####/category_3_4.webp
- /data/data/####/category_3_5.webp
- /data/data/####/category_4_-1.webp
- /data/data/####/category_4_0.webp
- /data/data/####/category_4_1.webp
- /data/data/####/category_4_2.webp
- /data/data/####/category_4_3.webp
- /data/data/####/category_4_4.webp
- /data/data/####/category_4_5.webp
- /data/data/####/classes.dex
- /data/data/####/classes.dex.flock (deleted)
- /data/data/####/classes2.dex
- /data/data/####/classes2.dex.flock (deleted)
- /data/data/####/cn_guanying.webp
- /data/data/####/cn_pingfen.webp
- /data/data/####/cn_shoucang.webp
- /data/data/####/duihuanma.webp
- /data/data/####/home_bg_more.webp
- /data/data/####/home_bind_phone_give_gold.webp
- /data/data/####/home_fav_finished.webp
- /data/data/####/home_fav_loading.webp
- /data/data/####/home_give_gold.gif
- /data/data/####/home_give_gold.webp
- /data/data/####/home_icon_filter.webp
- /data/data/####/home_location.webp
- /data/data/####/home_popularity.webp
- /data/data/####/home_search.webp
- /data/data/####/home_task.webp
- /data/data/####/icon_all.webp
- /data/data/####/icon_auto_buy_close.webp
- /data/data/####/icon_auto_buy_open.webp
- /data/data/####/icon_bg_hot_search.webp
- /data/data/####/icon_bg_hot_search_land.webp
- /data/data/####/icon_bind_phonenum.webp
- /data/data/####/icon_book_city_classify_drop.webp
- /data/data/####/icon_buy_video.webp
- /data/data/####/icon_cat_coin.webp
- /data/data/####/icon_change.webp
- /data/data/####/icon_coin_details_empty.webp
- /data/data/####/icon_down.webp
- /data/data/####/icon_empty_download.webp
- /data/data/####/icon_expansion.webp
- /data/data/####/icon_fav_default.webp
- /data/data/####/icon_fav_selected.webp
- /data/data/####/icon_favorite_empty.webp
- /data/data/####/icon_feed_back_empty.webp
- /data/data/####/icon_feedback.webp
- /data/data/####/icon_gesture.webp
- /data/data/####/icon_history.webp
- /data/data/####/icon_home_c.webp
- /data/data/####/icon_home_n.webp
- /data/data/####/icon_home_p.webp
- /data/data/####/icon_home_p_new_back.webp
- /data/data/####/icon_hot_classify.webp
- /data/data/####/icon_like_default.webp
- /data/data/####/icon_like_selected.webp
- /data/data/####/icon_live_c.webp
- /data/data/####/icon_live_n.webp
- /data/data/####/icon_live_p.webp
- /data/data/####/icon_mine_c.webp
- /data/data/####/icon_mine_n.webp
- /data/data/####/icon_mine_p.webp
- /data/data/####/icon_more.webp
- /data/data/####/icon_my_download.webp
- /data/data/####/icon_my_fav.webp
- /data/data/####/icon_notify.webp
- /data/data/####/icon_positive_order.webp
- /data/data/####/icon_qr_code.webp
- /data/data/####/icon_qrcode_voucher.webp
- /data/data/####/icon_rank_arrow.webp
- /data/data/####/icon_rank_dow.webp
- /data/data/####/icon_rank_download.webp
- /data/data/####/icon_rank_fav.webp
- /data/data/####/icon_rank_flat.webp
- /data/data/####/icon_rank_new.webp
- /data/data/####/icon_rank_pay.webp
- /data/data/####/icon_rank_search.webp
- /data/data/####/icon_rank_see.webp
- /data/data/####/icon_rank_up.webp
- /data/data/####/icon_recharge_record.webp
- /data/data/####/icon_recommend_heat.webp
- /data/data/####/icon_recover_account.webp
- /data/data/####/icon_reverse_order.webp
- /data/data/####/icon_search_result_empty.webp
- /data/data/####/icon_see_history_empty.webp
- /data/data/####/icon_server_help.webp
- /data/data/####/icon_setting.webp
- /data/data/####/icon_share.webp
- /data/data/####/icon_short_n.webp
- /data/data/####/icon_short_p.webp
- /data/data/####/icon_sort.webp
- /data/data/####/icon_topic_c.webp
- /data/data/####/icon_topic_n.webp
- /data/data/####/icon_topic_p.webp
- /data/data/####/icon_unlocked.webp
- /data/data/####/icon_welf_c.png
- /data/data/####/icon_welf_n.png
- /data/data/####/icon_welf_p.png
- /data/data/####/jk_guanying.webp
- /data/data/####/jk_pingfen.webp
- /data/data/####/jk_shoucang.webp
- /data/data/####/live_announcement.webp
- /data/data/####/live_bg.webp
- /data/data/####/live_close.webp
- /data/data/####/live_go.webp
- /data/data/####/live_page_guide.webp
- /data/data/####/live_recommended.webp
- /data/data/####/live_recommended_unfold.webp
- /data/data/####/live_recommended_withdraw.webp
- /data/data/####/live_vip_open.webp
- /data/data/####/live_zbzfcfzl.webp
- /data/data/####/mine_copy_id.webp
- /data/data/####/mine_feedback_camera.webp
- /data/data/####/mine_glod.webp
- /data/data/####/mine_icon_bind_qr_code.webp
- /data/data/####/mine_icon_code.webp
- /data/data/####/mine_icon_phone.webp
- /data/data/####/mine_notify_item.webp
- /data/data/####/mine_promote.webp
- /data/data/####/mine_qrcode_voucheer_bg.webp
- /data/data/####/mine_recommend.webp
- /data/data/####/mine_redemption.webp
- /data/data/####/mine_redemption_code.webp
- /data/data/####/mine_tuiguang.webp
- /data/data/####/mine_vip.webp
- /data/data/####/mine_vip_bg.webp
- /data/data/####/mine_vip_n.webp
- /data/data/####/photo_fav.webp
- /data/data/####/photo_share.webp
- /data/data/####/photo_un_fav.webp
- /data/data/####/proc_auxv
- /data/data/####/rank_index_1.webp
- /data/data/####/rank_index_2.webp
- /data/data/####/rank_index_3.webp
- /data/data/####/rank_index_other.webp
- /data/data/####/rank_list_bg.webp
- /data/data/####/rank_text.webp
- /data/data/####/usa_guanying.webp
- /data/data/####/usa_pingfen.webp
- /data/data/####/usa_shoucang.webp
- /data/data/####/zip_96.zip
Другие:
Загружает динамические библиотеки:
- libflutter
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
Отрисовывает собственные окна поверх других приложений.
