Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Joker.422.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) api.elf####.com:80
- UDP(NTP) 2.and####.p####.####.org:123
- TCP(TLS/1.0) p####.google####.com:443
- TCP(TLS/1.0) ru.ek####.com:443
- TCP(TLS/1.0) g####.face####.com:443
- TCP(TLS/1.0) rr1---s####.g####.com:443
- TCP(TLS/1.0) 1####.194.73.139:443
- TCP(TLS/1.0) app-mea####.com:443
- TCP(TLS/1.0) firebas####.crashly####.com:443
- TCP(TLS/1.0) api.facemoj####.com:443
- TCP(TLS/1.2) ru.ek####.com:443
- TCP(TLS/1.2) 1####.194.73.139:443
- TCP(TLS/1.2) 74.1####.205.101:443
- TCP(TLS/1.2) p####.google####.com:443
- TCP(TLS/1.2) 2####.85.233.94:443
- TCP api.facemoj####.com:443
- TCP dokl7xq####.cloudf####.net:443
- UDP rr1---s####.g####.com:443
- TCP d18c2vb####.cloudf####.net:443
- UDP 1####.194.221.95:443
- TCP globa####.facemoj####.com:443
- UDP p####.google####.com:443
- TCP d178bch####.cloudf####.net:443
- UDP 85.1####.117.141:443
Запросы DNS:
- 2.and####.p####.####.org
- api.elf####.com
- api.facemoj####.com
- app-mea####.com
- d178bch####.cloudf####.net
- d18c2vb####.cloudf####.net
- dokl7xq####.cloudf####.net
- firebas####.crashly####.com
- firebas####.google####.com
- g####.face####.com
- globa####.facemoj####.com
- globa####.facemoj####.com
- gmscomp####.google####.com
- p####.google####.com
- rr1---s####.g####.com
- ru.ek####.com
Запросы HTTP GET:
- firebas####.crashly####.com:443/spi/v2/platforms/android/gmp/1:296998792...
Запросы HTTP POST:
- api.elf####.com/collect/v1
- api.elf####.com/task
- p####.google####.com:443/v1/projects/keyboard-6d35f/installations
- ru.ek####.com:443/cgi-bin-py/dukeyboard_new.cgi?ty=####&enc=####&bt=####...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/._u_i_d_f_k
- /data/data/####/1667174320994das_action_file.data__3.0.0.1
- /data/data/####/635F0F9C004300010DAB9E371A512E88keys.meta
- /data/data/####/635F0F9C004300010DAB9E371A512E88user.meta
- /data/data/####/635F0FA2024700010E619E371A512E88keys.meta
- /data/data/####/635F0FA2024700010E619E371A512E88user.meta
- /data/data/####/635F0FBE0378000111569E371A512E88keys.meta
- /data/data/####/635F0FBE0378000111569E371A512E88user.meta
- /data/data/####/AppEventsLogger.persistedevents
- /data/data/####/DasPreferences.xml
- /data/data/####/FirebaseAppHeartBeat.xml
- /data/data/####/FirebaseAppHeartBeat.xml.bak
- /data/data/####/PersistedInstallation.W0RFRkFVTFRd+MToyOTY5OTg3...h.json
- /data/data/####/PersistedInstallation104052115tmp
- /data/data/####/PersistedInstallation1338849253tmp
- /data/data/####/PersistedInstallation1765028441tmp
- /data/data/####/PersistedInstallation511836954tmp
- /data/data/####/SimejiMainProcesspreference.xml
- /data/data/####/SimejiSkinProcessPreference.xml
- /data/data/####/androidx.work.workdb
- /data/data/####/androidx.work.workdb-journal (deleted)
- /data/data/####/androidx.work.workdb-shm
- /data/data/####/androidx.work.workdb-wal
- /data/data/####/app.json
- /data/data/####/com.crashlytics.settings.json
- /data/data/####/com.custom.keyboard.pro_preferences.xml
- /data/data/####/com.facebook.sdk.USER_SETTINGS.xml
- /data/data/####/com.facebook.sdk.appEventPreferences.xml
- /data/data/####/com.google.InstanceId.properties
- /data/data/####/com.google.android.datatransport.events-journal
- /data/data/####/com.google.android.gms.appid-no-backup
- /data/data/####/com.google.android.gms.appid.xml
- /data/data/####/com.google.android.gms.measurement.prefs.xml
- /data/data/####/com.google.android.gms.measurement.prefs.xml.bak
- /data/data/####/com.google.firebase.crashlytics.xml
- /data/data/####/com.google.firebase.messaging.xml
- /data/data/####/das_action_file.data__3.0.0.1
- /data/data/####/device.json
- /data/data/####/dictsDataNew
- /data/data/####/emoji.dic
- /data/data/####/emoji.dic.temp
- /data/data/####/emojiSkin
- /data/data/####/emojiSkin.temp
- /data/data/####/emoji_all.dic
- /data/data/####/emoji_translate.dic
- /data/data/####/generatefid.lock
- /data/data/####/initialization_marker
- /data/data/####/lstm_lite.nb
- /data/data/####/lstm_lite.nb.temp
- /data/data/####/mmkv.default
- /data/data/####/os.json
- /data/data/####/pendingUpdates-journal
- /data/data/####/proc_auxv
- /data/data/####/profile_enable_subtype.xml
- /data/data/####/report
- /data/data/####/session.json
- /data/data/####/simeji_multi_cache
- /data/data/####/start-time
- /data/data/####/sys.dic
- /data/data/####/sys.dic.temp
- /data/data/####/sys.dic.tmpfile
- /data/data/####/user
- /data/data/####/utils.xml
- /data/data/####/vm.dex
- /data/data/####/vm.odex
- /data/data/####/vm.odex.flock (deleted)
- /data/media/####/-1040518190
- /data/media/####/-1040518190.temp
- /data/media/####/-1056908273
- /data/media/####/-1056908273.temp
- /data/media/####/-1123391191
- /data/media/####/-1123391191.temp
- /data/media/####/-1144369119
- /data/media/####/-1144369119.temp
- /data/media/####/-1261163219
- /data/media/####/-1261163219.temp
- /data/media/####/-1279864518
- /data/media/####/-1279864518.temp
- /data/media/####/-1299111024
- /data/media/####/-1299111024.temp
- /data/media/####/-1320166090
- /data/media/####/-1320166090.temp
- /data/media/####/-1499902689
- /data/media/####/-1499902689.temp
- /data/media/####/-1635179508
- /data/media/####/-1635179508.temp
- /data/media/####/-166684738
- /data/media/####/-166684738.temp
- /data/media/####/-174317488
- /data/media/####/-174317488.temp
- /data/media/####/-1791310912
- /data/media/####/-1791310912.temp
- /data/media/####/-1820171385
- /data/media/####/-1820171385.temp
- /data/media/####/-1837671598
- /data/media/####/-1839445504
- /data/media/####/-1839445504.temp
- /data/media/####/-1883357360
- /data/media/####/-1883357360.temp
- /data/media/####/-2076631092
- /data/media/####/-2076631092.temp
- /data/media/####/-2134109800
- /data/media/####/-2134109800.temp
- /data/media/####/-366831579
- /data/media/####/-366831579.temp
- /data/media/####/-53543563
- /data/media/####/-53543563.temp
- /data/media/####/-579024191
- /data/media/####/-579024191.temp
- /data/media/####/-658541684
- /data/media/####/-658541684.temp
- /data/media/####/-724344919
- /data/media/####/-724344919.temp
- /data/media/####/-793200153
- /data/media/####/-793200153.temp
- /data/media/####/-853310841
- /data/media/####/-853310841.temp
- /data/media/####/-857850602
- /data/media/####/-857850602.temp
- /data/media/####/-885822597
- /data/media/####/-885822597.temp
- /data/media/####/._u_i_d_f_k
- /data/media/####/1078782067
- /data/media/####/1078782067.temp
- /data/media/####/1133387927
- /data/media/####/1133387927.temp
- /data/media/####/1299649632
- /data/media/####/1299649632.temp
- /data/media/####/1299978738
- /data/media/####/1299978738.temp
- /data/media/####/1368124148
- /data/media/####/1368124148.temp
- /data/media/####/1406606959
- /data/media/####/1406606959.temp
- /data/media/####/1505839599
- /data/media/####/1505839599.temp
- /data/media/####/1562831550
- /data/media/####/1562831550.temp
- /data/media/####/1563370047
- /data/media/####/1563370047.temp
- /data/media/####/1570351875
- /data/media/####/1570351875.temp
- /data/media/####/1723969709
- /data/media/####/1723969709.temp
- /data/media/####/181db37728403ed89dca4c29f15f63a5.0.tmp
- /data/media/####/181db37728403ed89dca4c29f15f63a5.1.tmp
- /data/media/####/1962357022
- /data/media/####/1962357022.temp
- /data/media/####/2090104784
- /data/media/####/2090104784.temp
- /data/media/####/378d791f654be9bad87b7b8385c9791b.0.tmp
- /data/media/####/378d791f654be9bad87b7b8385c9791b.1
- /data/media/####/378d791f654be9bad87b7b8385c9791b.1.tmp
- /data/media/####/492429692
- /data/media/####/492429692.temp
- /data/media/####/4bb095238a13c9ff756402522d37e313.0.tmp
- /data/media/####/4bb095238a13c9ff756402522d37e313.1.tmp
- /data/media/####/4cb2b785eefe069f9ef0599a9c3267a5.0.tmp
- /data/media/####/4cb2b785eefe069f9ef0599a9c3267a5.1
- /data/media/####/4cb2b785eefe069f9ef0599a9c3267a5.1.tmp
- /data/media/####/4f1ccb72a31b4e794ff33b6cd613bd5d.0.tmp
- /data/media/####/4f1ccb72a31b4e794ff33b6cd613bd5d.1.tmp
- /data/media/####/654197315
- /data/media/####/654197315.temp
- /data/media/####/65571179
- /data/media/####/65571179.temp
- /data/media/####/667df02623c8795dac89bd9e595440d0.0.tmp
- /data/media/####/667df02623c8795dac89bd9e595440d0.1.tmp
- /data/media/####/674aaca897c3737dd13aefcb2786fd7b.0
- /data/media/####/674aaca897c3737dd13aefcb2786fd7b.1
- /data/media/####/725408945
- /data/media/####/725408945.temp
- /data/media/####/73352704
- /data/media/####/73352704.temp
- /data/media/####/756162478
- /data/media/####/756162478.temp
- /data/media/####/7ab741a8c3b98d92d78a54f70663c1ed.0
- /data/media/####/7ab741a8c3b98d92d78a54f70663c1ed.0.tmp
- /data/media/####/7ab741a8c3b98d92d78a54f70663c1ed.1
- /data/media/####/818127433
- /data/media/####/818127433.temp
- /data/media/####/91e112b94fa6b2aa9098ee56620bc719.0.tmp
- /data/media/####/91e112b94fa6b2aa9098ee56620bc719.1
- /data/media/####/937033060
- /data/media/####/937033060.temp
- /data/media/####/ASCII_Art_diy_b3bf45a7-0594-4e4f-b008-9456c2b3...g.temp
- /data/media/####/ASCII_Art_diy_b3bf45a7-0594-4e4f-b008-9456c2b34a2d.png
- /data/media/####/Animal_Art_diy_bc9e4ed6-e54c-47ca-acf0-2f2f623...g.temp
- /data/media/####/Animal_Art_diy_bc9e4ed6-e54c-47ca-acf0-2f2f62323195.png
- /data/media/####/Blackpink_diy_8ffd6de3-ee5e-4dc2-9798-64569f50...g.temp
- /data/media/####/Blackpink_diy_8ffd6de3-ee5e-4dc2-9798-64569f50e8b8.png
- /data/media/####/Food_diy_8fe93160-a0b1-42a1-bda9-0d5e888cc294.png
- /data/media/####/Food_diy_8fe93160-a0b1-42a1-bda9-0d5e888cc294.png.temp
- /data/media/####/Fun_diy_7a6996e6-61cf-4f10-b2c6-0bc4024da0ee.png
- /data/media/####/Fun_diy_7a6996e6-61cf-4f10-b2c6-0bc4024da0ee.png.temp
- /data/media/####/Game_Art_diy_4ecef87c-c99f-4374-bfcb-be462d7ae...g.temp
- /data/media/####/Game_Art_diy_4ecef87c-c99f-4374-bfcb-be462d7aeaa1.png
- /data/media/####/Greetings_diy_82980a6f-4c02-47c6-a9d6-dc45be93...g.temp
- /data/media/####/Greetings_diy_82980a6f-4c02-47c6-a9d6-dc45be93eb07.png
- /data/media/####/Holiday_diy_4e3eb835-c504-4167-a4db-ad848a419b89.png
- /data/media/####/Holiday_diy_4e3eb835-c504-4167-a4db-ad848a419b89.png.temp
- /data/media/####/Hot_Rank_diy_03e31752-12dd-4593-905a-a5b5e6e54...g.temp
- /data/media/####/Hot_Rank_diy_03e31752-12dd-4593-905a-a5b5e6e54d63.png
- /data/media/####/K-Pop_diy_83659d6c-ba2b-4dd8-b123-f20e6e49502f.png
- /data/media/####/K-Pop_diy_83659d6c-ba2b-4dd8-b123-f20e6e49502f.png.temp
- /data/media/####/Kaomoji_Art_diy_3d1ad40b-3f4c-4377-9345-126b9f...g.temp
- /data/media/####/Kaomoji_Art_diy_3d1ad40b-3f4c-4377-9345-126b9f4a9594.png
- /data/media/####/Lifestyle_diy_93eb6c18-5d82-4dde-8651-b415d45c...g.temp
- /data/media/####/Lifestyle_diy_93eb6c18-5d82-4dde-8651-b415d45cd63c.png
- /data/media/####/Love_diy_432aeef9-b3b1-4661-b9d2-a3aa988a68b8.png
- /data/media/####/Love_diy_432aeef9-b3b1-4661-b9d2-a3aa988a68b8.png.temp
- /data/media/####/Season_diy_fad319db-1b6c-4471-b482-eb8ea7ec2a90.png
- /data/media/####/Season_diy_fad319db-1b6c-4471-b482-eb8ea7ec2a90.png.temp
- /data/media/####/aa_data.txt
- /data/media/####/bda261fb81ace5f7677801a66f897e15.0.tmp
- /data/media/####/bda261fb81ace5f7677801a66f897e15.1
- /data/media/####/bda261fb81ace5f7677801a66f897e15.1.tmp
- /data/media/####/cbac45cdd423029f384b904d8c9d1fa3.0.tmp
- /data/media/####/cbac45cdd423029f384b904d8c9d1fa3.1
- /data/media/####/cbac45cdd423029f384b904d8c9d1fa3.1.tmp
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...1.temp
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...2.temp
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...amily1
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...butter
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...e.temp
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...h.temp
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...herope
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...i.temp
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...iaolan
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...ipfans
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...k.temp
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...lcrush
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...lemoji
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...loween
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...mStyle
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...n.temp
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...o.temp
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...oissus
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...postor
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...r.temp
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...rdsmen
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...s.temp
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...ticker
- /data/media/####/com.adamrocker.android.input.simeji.global.sti...yfree2
- /data/media/####/com.adamrocker.android.input.simeji.global.sticker.bpink
- /data/media/####/com.adamrocker.android.input.simeji.global.sticker.bt21
- /data/media/####/com.adamrocker.android.input.simeji.global.sticker.cookie
- /data/media/####/com.adamrocker.android.input.simeji.global.sticker.jmf2
- /data/media/####/com.adamrocker.android.input.simeji.global.sticker.mojo
- /data/media/####/com.adamrocker.android.input.simeji.global.sticker.quby1
- /data/media/####/icon
- /data/media/####/icon.temp
- /data/media/####/journal
- /data/media/####/journal.tmp
- /data/media/####/preview
- /data/media/####/preview.temp
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /proc/meminfo
- /system/bin/cat /sys/block/mmcblk0/device/cid
- /system/bin/cat /sys/block/mmcblk1/device/cid
- /system/bin/cat /sys/block/mmcblk2/device/cid
- /system/bin/cat /sys/block/mmcblk3/device/cid
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
Загружает динамические библиотеки:
- libc_ext
- libcrashlytics
- liblog4c-lib
- libmmkv
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-NoPadding
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Перехватывает уведомления.
Запрашивает разрешение на отображение системных уведомлений.
