Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Locker.1274.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) cdn.u1.hul####.####.com:80
- TCP(HTTP/1.1) cdn.u2.hul####.####.com:80
- TCP(HTTP/1.1) zhu####.z.1####.cn:80
- TCP(HTTP/1.1) ser####.pic####.a####.com:80
- TCP(HTTP/1.1) 47.2####.48.181:80
- UDP(NTP) 2.and####.p####.####.org:123
- TCP(TLS/1.0) v####.weib####.com.####.net:443
- TCP(TLS/1.0) txc.g####.com.####.cn:443
- TCP(TLS/1.0) rr5---s####.g####.com:443
- TCP(TLS/1.0) and####.a####.go####.com:443
- TCP(TLS/1.0) rr3---s####.g####.com:443
- TCP(TLS/1.0) i0.h####.com:443
- TCP(TLS/1.0) gmscomp####.google####.com:443
- TCP(TLS/1.0) s####.cn:443
- TCP(TLS/1.2) 1####.250.27.94:443
- UDP gmscomp####.google####.com:443
Запросы DNS:
- 1.h.1####.cn
- 2.and####.p####.####.org
- and####.a####.go####.com
- cdn.u1.hul####.com
- cdn.u2.hul####.com
- gmscomp####.google####.com
- i####.a####.com
- i0.h####.com
- p####.google####.com
- pla####.google####.com
- rr3---s####.g####.com
- rr5---s####.g####.com
- s####.cn
- ser####.pic####.a####.com
- t####.sin####.cn
- txc.g####.com
- zhu####.z.1####.cn
Запросы HTTP GET:
- cdn.u1.hul####.####.com/favicon.ico
- cdn.u1.hul####.####.com/g4/M01/E8/7F/rBAAdmNzI3OAXRENADjgiNcVosM966.png
- cdn.u1.hul####.####.com/g4/M01/F3/D7/rBAAdmOAcs6AQH6VAAjjkUW2980609.png
- cdn.u1.hul####.####.com/g4/M01/F6/D5/rBAAdmODW3WAEXY-AALhinLYsps674.jpg
- cdn.u1.hul####.####.com/g4/M01/FE/62/rBAAdmONd8aAFZVsAAAL5jbYRMQ802.png
- cdn.u1.hul####.####.com/g4/M02/09/61/rBAAdmOcZemACDrTABzPBTlII_M887.png
- cdn.u1.hul####.####.com/g4/M02/F3/D6/rBAAdmOAcf-AH7wDAAZj7W5XcaU559.png
- cdn.u1.hul####.####.com/g4/M02/F6/D4/rBAAdmODWwCAbgVwAAGOC-3eBPo415.jpg
- cdn.u1.hul####.####.com/g4/M02/FE/4A/rBAAdmONWTuALWTlAAFNL2SBDFc326.jpg
- cdn.u1.hul####.####.com/g4/M03/F3/D7/rBAAdmOAckKAIG30AAUD61dydPg974.png
- cdn.u1.hul####.####.com/g4/M03/F3/D7/rBAAdmOAcm2AfaykAApt3y7RXSM800.png
- cdn.u1.hul####.####.com/g4/M03/F3/D7/rBAAdmOAco-ARbmAAA1k1ayTW2k323.png
- cdn.u1.hul####.####.com/g4/M03/F6/D4/rBAAdmODWrOAFweSAAFss_HfNG4988.jpg
- cdn.u1.hul####.####.com/g4/M03/F8/C7/rBAAdmOFmeiAVhqDAAAxS09u8Y4667.jpg
- cdn.u1.hul####.####.com/g4/M03/FF/14/rBAAdmOOHtKAKc51AAvGUmYw0h8664.png
- cdn.u2.hul####.####.com/g3/M00/22/EB/wKgBOVpvDwGANe5hAAApXp6oPp0669.png
- i0.h####.com:443/bfs/album/0d6161ec0960d6bb5e0f0fdcb4870d87ef29aea5.png
- i0.h####.com:443/bfs/album/1cbb80d6fd7de51265992b9f8b48d2623006e236.png
- i0.h####.com:443/bfs/album/3b383da295544bc3f79e56e122eb21f5ff831a0d.png
- i0.h####.com:443/bfs/album/3e6b82c19415478d697943980d0fe87986d4c2b8.png
- i0.h####.com:443/bfs/album/5ec1a9e3129b1340ddc79550bc78f73877110688.png
- i0.h####.com:443/bfs/album/62a0b250656c0564897f1400258b7ce0ae578813.png
- i0.h####.com:443/bfs/album/6ceddb109ad82947063a897c386f4050a327443a.png
- i0.h####.com:443/bfs/album/8288fe5f6a4563300cd7ba2f3d313e36f0f22ab2.png
- i0.h####.com:443/bfs/album/b6fd852d2d3652accbde3579057d28586e570f94.png
- i0.h####.com:443/bfs/album/b998ec55266b05a96aff2bc0fc1c4e66b4ae69e3.png
- i0.h####.com:443/bfs/album/bd407c7c4e81f610e72834a2c2af3ac0aabc328d.png
- i0.h####.com:443/bfs/album/c79d773b965ae512479ad27cbb1b631caefec8a3.png
- i0.h####.com:443/bfs/album/da301bf9d1a84af0e40f6b3acecc6878637369ae.png
- i0.h####.com:443/bfs/album/e291ed0e3f89ad7b9b8caaeb66f375e9c8d791cd.png
- i0.h####.com:443/bfs/album/ef7ad2af09a2830d49dbfe9f2d2e268c7a78347c.png
- i0.h####.com:443/bfs/album/fb07350663eb5d30d638a14b3bc56265ed3f8c17.png
- s####.cn:443/AhSr2R
- s####.cn:443/fgZyES
- ser####.pic####.a####.com/v1/vertical/category
- v####.weib####.com.####.net:443/large/e6c9d24ely1h0v8dni3hzj205c05c3yb.jpg
- v####.weib####.com.####.net:443/large/e6c9d24ely1h0xz0u9tl9j205c05cwea.jpg
- v####.weib####.com.####.net:443/large/e6c9d24ely1h0zt0qbc8nj205c05cq2s.jpg
- v####.weib####.com.####.net:443/large/e6c9d24ely1h2gelpv1hwj205c05c0sl.jpg
- v####.weib####.com.####.net:443/large/e6c9d24ely1h2l544gj1hj205c05c743.jpg
- v####.weib####.com.####.net:443/large/e6c9d24ely1h2yaea0yixj205c05cmx1.jpg
- v####.weib####.com.####.net:443/large/e6c9d24ely1h37kx4b4uuj205c05cq2s.jpg
- v####.weib####.com.####.net:443/large/e6c9d24ely1h4iz5su822j20dw0dwjrt.jpg
- zhu####.z.1####.cn/bzztk.txt
- zhu####.z.1####.cn/glztk.txt
- zhu####.z.1####.cn/pzapp.php
- zhu####.z.1####.cn/ycztk.txt
- zhu####.z.1####.cn/zhutikutishi.txt
- zhu####.z.1####.cn/zxzs.txt
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.fsgkea
- /data/data/####/.jg.ac
- /data/data/####/.jg.ri
- /data/data/####/.jg.store.report_cf
- /data/data/####/.jg.store.report_pid
- /data/data/####/1cc24ab9e26271795ee9a9de87b8ed0f.0.tmp
- /data/data/####/1cc24ab9e26271795ee9a9de87b8ed0f.1
- /data/data/####/1cc24ab9e26271795ee9a9de87b8ed0f.1.tmp
- /data/data/####/2702acb9af2cf182_0
- /data/data/####/292cd77be6dc1966b7b32df5102dce25.0.tmp
- /data/data/####/292cd77be6dc1966b7b32df5102dce25.1
- /data/data/####/292cd77be6dc1966b7b32df5102dce25.1.tmp
- /data/data/####/3471ef34964fc552_0
- /data/data/####/36a440e684f83600c0451b6586403169.0.tmp
- /data/data/####/36a440e684f83600c0451b6586403169.1
- /data/data/####/4a6c6ffa5f7ff1105d865b314ebd7439.0.tmp
- /data/data/####/4a6c6ffa5f7ff1105d865b314ebd7439.1
- /data/data/####/4ff18bbb013081b456592269822f125a.0.tmp
- /data/data/####/4ff18bbb013081b456592269822f125a.1
- /data/data/####/51ddfccb06ff800f44885894379900fe.0.tmp
- /data/data/####/51ddfccb06ff800f44885894379900fe.1
- /data/data/####/51ddfccb06ff800f44885894379900fe.1.tmp
- /data/data/####/5af8a427726eace7_0
- /data/data/####/6cf2b1bba5955e0f_0
- /data/data/####/703f622ff9ae74329c4b4d44641b02c5.0.tmp
- /data/data/####/703f622ff9ae74329c4b4d44641b02c5.1
- /data/data/####/703f622ff9ae74329c4b4d44641b02c5.1.tmp
- /data/data/####/70cab523b71d48620eb26c9c011a8670.0.tmp
- /data/data/####/70cab523b71d48620eb26c9c011a8670.1
- /data/data/####/79b31810e28dae20ffbdecc01aa4da4e.0.tmp
- /data/data/####/79b31810e28dae20ffbdecc01aa4da4e.1
- /data/data/####/80ea599e4846debf59057e4eaa19858d.0.tmp
- /data/data/####/80ea599e4846debf59057e4eaa19858d.1
- /data/data/####/80ea599e4846debf59057e4eaa19858d.1.tmp
- /data/data/####/9206f485da44878a77ee88ac98031cec.0.tmp
- /data/data/####/9206f485da44878a77ee88ac98031cec.1
- /data/data/####/9206f485da44878a77ee88ac98031cec.1.tmp
- /data/data/####/98e8994f8645a259175a8f2e4a107254.0.tmp
- /data/data/####/98e8994f8645a259175a8f2e4a107254.1
- /data/data/####/98e8994f8645a259175a8f2e4a107254.1.tmp
- /data/data/####/Cookies-journal
- /data/data/####/Picasso.dex
- /data/data/####/Picasso.dex.flock (deleted)
- /data/data/####/WebPictureload
- /data/data/####/WebPictureload.dex
- /data/data/####/WebPictureload.dex.flock (deleted)
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/ac2e9d2589ce3784_0
- /data/data/####/b6dcf1a4487818c7_0
- /data/data/####/bc0d747dd58813550944442c5081287e.0.tmp
- /data/data/####/bc0d747dd58813550944442c5081287e.1
- /data/data/####/bc0d747dd58813550944442c5081287e.1.tmp
- /data/data/####/c53e9eef95561cf81da251f2212abf9a.0.tmp
- /data/data/####/c53e9eef95561cf81da251f2212abf9a.1.tmp
- /data/data/####/c5b29581e9fe145b_0
- /data/data/####/cda659b00c5785db093a68e6d3333e89.0.tmp
- /data/data/####/cda659b00c5785db093a68e6d3333e89.1.tmp
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.oat
- /data/data/####/e3544fca043a514cc13f24209e84d6ab.0.tmp
- /data/data/####/e3544fca043a514cc13f24209e84d6ab.1
- /data/data/####/e555b9a7df4335acb648263501159a53.0.tmp
- /data/data/####/e555b9a7df4335acb648263501159a53.1
- /data/data/####/e555b9a7df4335acb648263501159a53.1.tmp
- /data/data/####/ed6c717e5d421a319cb2d6cc4f89ffa1.0.tmp
- /data/data/####/ed6c717e5d421a319cb2d6cc4f89ffa1.1
- /data/data/####/f9a45913beed4fc730dcc153ac065dc7.0.tmp
- /data/data/####/f9a45913beed4fc730dcc153ac065dc7.1
- /data/data/####/f9a45913beed4fc730dcc153ac065dc7.1.tmp
- /data/data/####/index
- /data/data/####/journal.tmp
- /data/data/####/libjiagu.so
- /data/data/####/metrics_guid
- /data/data/####/proc_auxv
- /data/data/####/temp-index
- /data/data/####/the-real-index
- /data/data/####/ztku.cc_preferences.xml
- /data/misc/####/primary.prof
Другие:
Загружает динамические библиотеки:
- libjiagu
- libluajava
- libpl_droidsonroids_gif
- libygsiyu
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
