Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.210.origin
- Android.RemoteCode.345.origin
- Android.RemoteCode.346.origin
- Android.Triada.491.origin
- Android.Triada.588.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) d####.100u####.com:80
- TCP(HTTP/1.1) c####.dc.100u####.####.net:80
- TCP(HTTP/1.1) get.z####.top:80
- TCP(HTTP/1.1) funnyv####.club:80
- TCP(HTTP/1.1) geo.appclic####.com:80
- TCP(HTTP/1.1) sdk.appclic####.com:80
- TCP(HTTP/1.1) 8.2####.89.234:80
- UDP(NTP) 2.and####.p####.####.org:123
- TCP(TLS/1.0) clie####.go####.com:443
- TCP(TLS/1.0) lp.xl####.com:443
- TCP(TLS/1.0) sdk-eve####.ap-sout####.log.####.com:443
- TCP(TLS/1.0) api.news-he####.co:443
- TCP(TLS/1.0) api.i####.org:443
- TCP(TLS/1.0) d####.100u####.com:443
- TCP(TLS/1.0) gmscomp####.google####.com:443
- TCP(TLS/1.0) a####.spi####.com:443
- TCP(TLS/1.0) and####.b####.qq.com:443
- TCP(TLS/1.0) cdn.boo####.net.####.com:443
- TCP(TLS/1.0) www.googlet####.com:443
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) oss.heyg####.club:443
- TCP(TLS/1.0) i.y####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) a####.tu####.xyz:443
- TCP(TLS/1.0) res.wetu####.club:443
- TCP(TLS/1.0) o####.azh####.com:9190
- TCP(TLS/1.0) sdk.appclic####.com:443
- TCP(TLS/1.0) reg####.google-####.com:443
- TCP(TLS/1.0) im####.tab####.com:443
- TCP(TLS/1.0) g####.92play####.top:443
- TCP(TLS/1.2) ssl.gst####.com:443
- TCP(TLS/1.2) gmscomp####.google####.com:443
- TCP luck####.na.lb.####.co:6065
- TCP 1####.62.133.15:800
Запросы DNS:
- 2.and####.p####.####.org
- a####.spi####.com
- a####.tu####.xyz
- and####.b####.qq.com
- api.i####.org
- api.news-he####.co
- c####.dc.100u####.com
- cdn.boo####.net
- clie####.go####.com
- d####.100u####.com
- funnyv####.club
- g####.92play####.top
- geo.appclic####.com
- get.z####.top
- gmscomp####.google####.com
- i.y####.com
- im####.tab####.com
- lp.xl####.com
- luck####.na.lb.####.co
- m####.go####.com
- o####.azh####.com
- oss.heyg####.club
- reg####.google-####.com
- res.wetu####.club
- sdk-eve####.ap-sout####.log.####.com
- sdk.appclic####.com
- ssl.gst####.com
- www.go####.com
- www.google-####.com
- www.googlet####.com
Запросы HTTP GET:
- c####.dc.100u####.####.net/sdkfile/547265a7a8b53a6eb2bf42e2fa9f02ae.jar?...
- c####.dc.100u####.####.net/sdkfile/8a117964b5f2eaac4a392bcbe2b9ea3d.apk?...
- c####.dc.100u####.####.net/sdkfile/a5856520a6957def69bbb3b7b9befd7e.apk?...
- c####.dc.100u####.####.net/sdkfile/aa89accc7c9689d0554e2e688103cb22.apk?...
- funnyv####.club/detail.html?id=####&gaid=####&p_id=####
- funnyv####.club/style/eye.png
- geo.appclic####.com/
- get.z####.top/a?from=####
- get.z####.top/favicon.ico
- get.z####.top/redirect/get?from=####
- sdk.appclic####.com/check2?channel=####&geo=####&net=####&osv=####
- sdk.appclic####.com/stg?channel=####&sdk=####
Запросы HTTP POST:
- and####.b####.qq.com:443/rqd/async?aid=####
- d####.100u####.com/sdk
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/0142e54b4d351cad_0
- /data/data/####/02727cc10b7f267a_0
- /data/data/####/03e201e05c9d1003_0
- /data/data/####/0438dc8034130bf8_0
- /data/data/####/066b787e9ca1d63b_0
- /data/data/####/0813a95cc67dcfb4_0
- /data/data/####/0b1dfec4fe6433cd_0
- /data/data/####/0c4b0100f5620aa5_0
- /data/data/####/0d0afe308bfa9bcd_0
- /data/data/####/1004
- /data/data/####/1398047660
- /data/data/####/13ad17465ac46869_0
- /data/data/####/1403889908.apk
- /data/data/####/1403889908.apk.temp
- /data/data/####/1403889908.dex
- /data/data/####/1403889908.dex.flock (deleted)
- /data/data/####/1806254871.apk
- /data/data/####/1806254871.apk.temp
- /data/data/####/1806254871.dex
- /data/data/####/1806254871.dex.flock (deleted)
- /data/data/####/1db4ae6d501ee38c_0
- /data/data/####/1db4ae6d501ee38c_1
- /data/data/####/204300863.apk
- /data/data/####/204300863.apk.temp
- /data/data/####/204300863.dex
- /data/data/####/204300863.dex.flock (deleted)
- /data/data/####/251721d7b63a8a47_0
- /data/data/####/26da60c971dea9a6fe5587f78edd2e4c.d
- /data/data/####/2940195bd9870d6e_0
- /data/data/####/2940195bd9870d6e_1
- /data/data/####/305cb7ba90c6a24e_0
- /data/data/####/3127460006.dex
- /data/data/####/3127460006.dex.flock (deleted)
- /data/data/####/3127460006.jar
- /data/data/####/3127460006.jar.temp
- /data/data/####/350233a71aa326df953ddf4ff04b2fee.dex
- /data/data/####/350233a71aa326df953ddf4ff04b2fee.dex.flock (deleted)
- /data/data/####/350233a71aa326df953ddf4ff04b2fee.jar
- /data/data/####/352acfdb91f48c62_0
- /data/data/####/3ba379af1c08755b_0
- /data/data/####/42f1be81f5865be5_0
- /data/data/####/44069ac87c43615a_0
- /data/data/####/507166dc3898a12a_0
- /data/data/####/5c71de5ee342eb58_0
- /data/data/####/5ca50924ce3c5c59_0
- /data/data/####/620088799f3fc6d7_0
- /data/data/####/620088799f3fc6d7_1
- /data/data/####/65323bab1725119ab9f8586450d4f6b9
- /data/data/####/6a0714ce8156e665_0
- /data/data/####/6b779d74a052d43db7665dff0c10ee3a
- /data/data/####/6bab49c7c249cd00_0
- /data/data/####/7158448d7fc2664b_0
- /data/data/####/7158448d7fc2664b_1
- /data/data/####/7194c0e8064548b4_0
- /data/data/####/7324599bfacdc8c0_0
- /data/data/####/7324599bfacdc8c0_1
- /data/data/####/745a2f442935879b71d7c1592e411ba9.xml
- /data/data/####/7621f9939bad6eb9_0
- /data/data/####/7a1d4a978d501e6b_0
- /data/data/####/7a43f8a99fd82fd605645df72389132c.d
- /data/data/####/7bd3f30db24a580f_0
- /data/data/####/7c136c66d7d31872_0
- /data/data/####/7c136c66d7d31872_1
- /data/data/####/7d43da529d4cec74_0
- /data/data/####/7ea24af84950effd_0
- /data/data/####/7ff48b49111ddb03_0
- /data/data/####/8022484b5689d761_0
- /data/data/####/83604
- /data/data/####/83639
- /data/data/####/83687
- /data/data/####/8889b39ac5fb4bb5_0
- /data/data/####/8a556b9071220629_0
- /data/data/####/90ad4e5d52f41471_0
- /data/data/####/9153eb62562bacfb_0
- /data/data/####/92629735451e58a7_0
- /data/data/####/93754b2cd16b0cec_0
- /data/data/####/988e5cd4de4b1f160c8ca32bee4c49c3.dex
- /data/data/####/988e5cd4de4b1f160c8ca32bee4c49c3.dex.flock (deleted)
- /data/data/####/988e5cd4de4b1f160c8ca32bee4c49c3.jar
- /data/data/####/BUGLY_COMMON_VALUES.xml
- /data/data/####/Cookies-journal
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/a7860fcca7e401f8_0
- /data/data/####/abe0820491312e8f_0
- /data/data/####/ac952f81ac50ea31_0
- /data/data/####/aca6a1642affdf45_0
- /data/data/####/anNfY2hhbmdl%0A.abc
- /data/data/####/anNfY2hhbmdl%0A.dex
- /data/data/####/anNfY2hhbmdl%0A.dex.flock (deleted)
- /data/data/####/anNfY2hhbmdl%0A.jar
- /data/data/####/anNfam95%0A.abc
- /data/data/####/anNfam95%0A.dex
- /data/data/####/anNfam95%0A.dex.flock (deleted)
- /data/data/####/anNfam95%0A.jar
- /data/data/####/anNfbmV3c18wNA%3D%3D%0A
- /data/data/####/anNfbmV3c18wNA%3D%3D%0A.abc
- /data/data/####/anNfbmV3c18wNA%3D%3D%0A.dex
- /data/data/####/anNfbmV3c18wNA%3D%3D%0A.dex (deleted)
- /data/data/####/anNfbmV3c18wNA%3D%3D%0A.dex.flock (deleted)
- /data/data/####/anNfbmV3c18wNA%3D%3D%0A.jar
- /data/data/####/anNfbmV3c18wNw%3D%3D%0A.abc
- /data/data/####/anNfbmV3c18wNw%3D%3D%0A.dex
- /data/data/####/anNfbmV3c18wNw%3D%3D%0A.dex.flock (deleted)
- /data/data/####/anNfbmV3c18wNw%3D%3D%0A.jar
- /data/data/####/anNfd3Bu%0A.abc
- /data/data/####/androidx.work.util.id.xml
- /data/data/####/androidx.work.workdb-journal (deleted)
- /data/data/####/b6183f89f479dcb3_0
- /data/data/####/b9aabedec9092604_0
- /data/data/####/b9aabedec9092604_1
- /data/data/####/bugly_db_-journal
- /data/data/####/bugly_last_us_up_tm
- /data/data/####/c08c48891e575c73_0
- /data/data/####/c08c48891e575c73_1
- /data/data/####/cactus.xml
- /data/data/####/com.android.google.verccit_preferences.xml
- /data/data/####/crashrecord.xml
- /data/data/####/curtain_sp.xml
- /data/data/####/curtain_sp.xml.bak
- /data/data/####/curtain_sp.xml.bak (deleted)
- /data/data/####/d4bfb9b34495fc2f_0
- /data/data/####/d5768ee99b70bed9_0
- /data/data/####/de41e66616132a3c_0
- /data/data/####/device_id.xml.xml
- /data/data/####/dfb04b550f94b669_0
- /data/data/####/e2011084b9e49a2f_0
- /data/data/####/e8701294d3df2090_0
- /data/data/####/edba20654f565a59_0
- /data/data/####/ee6eeecce203011d_0
- /data/data/####/f00f1fce9d9c091a_0
- /data/data/####/fab12adca88b74a7_0
- /data/data/####/fbe931a4d1ae8b2a_0 (deleted)
- /data/data/####/fc8130b598b79c58_0
- /data/data/####/fc8130b598b79c58_1
- /data/data/####/file_sp_new.xml
- /data/data/####/index
- /data/data/####/kdid
- /data/data/####/life_record_config.xml
- /data/data/####/local_crash_lock
- /data/data/####/metrics_guid
- /data/data/####/model.xml
- /data/data/####/native_record_lock (deleted)
- /data/data/####/proc_auxv
- /data/data/####/temp-index
- /data/data/####/the-real-index
- /data/media/####/0c42610ffffff80730ffffffa10ffffff9e040ffffffb7....cache
- /data/media/####/0ffffffb7416f0ffffffb90ffffffae48570ffffffea0f...fffd19
- /data/media/####/32290ffffff8a0ffffffd20ffffffc50ffffff910fffff....cache
- /data/media/####/460ffffffa30fffffffc5d4d410fffffff6251e0ffffff....cache
- /data/media/####/510ffffffd76a0ffffffc20f0fffffff8256575147c670....chche
- /data/media/####/5c365ed776bfa281c0149573a88d3265.temp
- /data/media/####/61dae3af518bd4e10bce63eeac100a19_52.61
- /data/media/####/7E76FFEF7FE1ABF330BF3B31A03E0CCB
- /data/media/####/c21b3aa35113355826d10c85b7e98a48.temp
- /data/media/####/global.xml
- /data/media/####/pfg.xml
- /data/media/####/plcfg.xml
- /data/media/####/use.xml
- /data/media/####/web.apk
- /data/media/####/webadlist_1.xml
- /data/media/####/webadlist_1.xml.bak
- /data/media/####/webinfo.xml
- /data/media/####/webinfo.xml.bak
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /proc/cpuinfo
- /system/bin/sh -c getprop
- cat /sys/class/net/eth0/address
- cat /sys/class/net/wlan0/address
- chmod 777 /data/user/0/<Package>/files/.honor
- chmod 777 /data/user/0/<Package>/files/.honor/1403889908.apk
- chmod 777 /data/user/0/<Package>/files/.honor/1806254871.apk
- chmod 777 /data/user/0/<Package>/files/.honor/204300863.apk
- chmod 777 /data/user/0/<Package>/files/.honor/3127460006.jar
- getprop
- sh
Загружает динамические библиотеки:
- libBugly_Native
Использует следующие алгоритмы для шифрования данных:
- AES
- AES-ECB-PKCS5Padding
- DES-ECB-NoPadding
- Des-ECB-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-ECB-PKCS5Padding
- DES
- DES-ECB-NoPadding
- Des-ECB-NoPadding
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
