Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Locker.1274.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) a####.8####.top:80
- TCP(HTTP/1.1) q####.com:80
- TCP(HTTP/1.1) x####.top:80
- UDP(NTP) 2.and####.p####.####.org:123
- TCP(TLS/1.0) xw.qq.com.####.net:443
- TCP(TLS/1.0) oth.str.be####.####.com:443
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.0) j####.qq.com:443
- TCP(TLS/1.0) pa####.m####.qq.com:443
- TCP(TLS/1.0) vm.g####.cn.####.com:443
- TCP(TLS/1.0) snowf####.qq.com:443
- TCP(TLS/1.0) tun-cos####.f####.myqc####.####.com:443
- TCP(TLS/1.0) n####.qq.com.####.net:443
- TCP(TLS/1.0) and####.a####.go####.com:443
- TCP(TLS/1.0) m####.g####.com.####.com:443
- TCP(TLS/1.0) h.t####.qq.com:443
- TCP(TLS/1.2) 1####.251.36.3:443
- UDP and####.google####.com:443
Запросы DNS:
- 2.and####.p####.####.org
- a####.8####.top
- and####.a####.go####.com
- and####.google####.com
- api.8####.top
- h.t####.qq.com
- i####.g####.com
- imgc####.qq.com
- j####.qq.com
- m####.g####.com
- m####.go####.com
- ot####.be####.qq.com
- oth.str.be####.####.com
- pa####.m####.qq.com
- q####.com
- snowf####.qq.com
- tun-cos####.f####.myqc####.com
- vm.g####.cn
- w####.qq.com
- www.8####.top
- x####.qq.com
- x####.top
Запросы HTTP GET:
- a####.8####.top/api/app/get_mobile?appid=####&meid=####&ver=####&mobileN...
- q####.com/
- x####.top/
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/00104d1f1c543685_0
- /data/data/####/00c3d58b0c15fd63_0
- /data/data/####/02d5a5dc679c5e28_0
- /data/data/####/041c685b9c33b0b6_0
- /data/data/####/04293458a862d4e8_0
- /data/data/####/0523f06876f1c83e_0
- /data/data/####/0a6c742464559949_0
- /data/data/####/0d1aea7440f535c6_0
- /data/data/####/0e8cc1ce32943154_0
- /data/data/####/0ed6674bc5e602f6_0
- /data/data/####/0fb06f7390a08375_0
- /data/data/####/1017d9351a2bda3d_0
- /data/data/####/1291e1acd009f1af_0
- /data/data/####/12e92fc5014196cd_0
- /data/data/####/13ade8f08a46f78a_0
- /data/data/####/14202ad388b69269_0 (deleted)
- /data/data/####/142da542b97277d4_0
- /data/data/####/14bdf1c70336f21a_0
- /data/data/####/15cf5333471fecac_0
- /data/data/####/15cf5333471fecac_1
- /data/data/####/173e4f31e6fc21e6_0
- /data/data/####/17f9c51d0490c8aa_0
- /data/data/####/17f9c51d0490c8aa_1
- /data/data/####/18ec2644a5e0a428_0
- /data/data/####/1a1484a0bba767a5_0
- /data/data/####/1b96e80589468ef0_0
- /data/data/####/1d3970a3a8c7b43a_0
- /data/data/####/207b18039c5ee335_0
- /data/data/####/229a5b41c3063ebf_0
- /data/data/####/22e2ec2634dd6b95_0
- /data/data/####/22f9b9fb19c4deaf_0
- /data/data/####/23f1644deccc0d45_0
- /data/data/####/29aedd0805d8341b_0
- /data/data/####/29aedd0805d8341b_1
- /data/data/####/2c24093fa5e785a1_0
- /data/data/####/2c3c996bee84c0ae_0
- /data/data/####/301d79fd200646fe_0
- /data/data/####/30a82388e7b63f72_0
- /data/data/####/3119f8b36d1fac93_0
- /data/data/####/3119f8b36d1fac93_1
- /data/data/####/323899e4d78b20a8_0
- /data/data/####/323899e4d78b20a8_1
- /data/data/####/336325bd0e931816_0
- /data/data/####/3625cc4eed5a9088_0
- /data/data/####/3885d2adf7023a85_0
- /data/data/####/39da3d85478ac9a0_0
- /data/data/####/3d6e47f43ce0e58f_0
- /data/data/####/3f68d09b9cb19f17_0
- /data/data/####/4062b53a5cbe9248_0
- /data/data/####/43699eb0e3b4d11f_0 (deleted)
- /data/data/####/450d7461c2272af9_0
- /data/data/####/4563b1008264123c_0
- /data/data/####/48d3fee9533b966b_0
- /data/data/####/4bb7ddf36186f5bf_0
- /data/data/####/4d11afb70b2d3f40_0
- /data/data/####/4dda286a4a80950e_0
- /data/data/####/5237cc4ecd206b92_0
- /data/data/####/54708b0270696562_0
- /data/data/####/54f0d1c0c22d86ab_0
- /data/data/####/55117624a338a540_0
- /data/data/####/566bba8caa964acb_0
- /data/data/####/566bba8caa964acb_1
- /data/data/####/59193a5fd69c6534_0
- /data/data/####/5d30469223ad0c81_0
- /data/data/####/5d5998ff03bedd6c_0
- /data/data/####/6004aab2fac0f1f6_0
- /data/data/####/6084f82a2feb0e5a_0
- /data/data/####/608def428fa9c102_0
- /data/data/####/609c8df071cdeca9_0
- /data/data/####/60d0a7a3237eeee1_0
- /data/data/####/659d32ff08915b2d_0
- /data/data/####/67bb834c5e673f14_0
- /data/data/####/6ae180e7698b4f3e_0
- /data/data/####/6cc7ca42d078e16e_0
- /data/data/####/6f938005444cdf91_0
- /data/data/####/70d765ba5cc63deb_0
- /data/data/####/7212b73bcf3d507f_0
- /data/data/####/729630858117a3ac_0
- /data/data/####/729f452fe7249d50_0
- /data/data/####/73491349c8c375f6_0
- /data/data/####/73b666257c15086d_0
- /data/data/####/73b666257c15086d_0 (deleted)
- /data/data/####/73b666257c15086d_1
- /data/data/####/74ba40d809f62c17_0
- /data/data/####/755689710211178b_0
- /data/data/####/756656fe77b217bc_0
- /data/data/####/759a04c60ac842ce_0
- /data/data/####/764f90e8862a295c_0
- /data/data/####/76a8e955a1d433a0_0
- /data/data/####/7b0fa4b0b7f90268_0
- /data/data/####/7b78a7fbae4c8fa1_0
- /data/data/####/7daa09668920960a_0
- /data/data/####/7dd5532b4ffd8fd3_0
- /data/data/####/7df148738add1aec_0
- /data/data/####/7df673bb8f608858_0
- /data/data/####/7f6bbc55c948d52d_0
- /data/data/####/833296e8dfd715e9_0
- /data/data/####/8432c0f436a5a029_0 (deleted)
- /data/data/####/84c8311f74e5c065_0
- /data/data/####/84c8311f74e5c065_1
- /data/data/####/84d345dd9cd802a6_0
- /data/data/####/84d345dd9cd802a6_0 (deleted)
- /data/data/####/86247585a858780e_0
- /data/data/####/86d99da36057d331_0
- /data/data/####/86fbb72f7f79f4c4_0
- /data/data/####/883260b5caaa1c54_0
- /data/data/####/888e673a81f22796_0
- /data/data/####/894008f89da4a9ed_0
- /data/data/####/89fdec991f48a854_0
- /data/data/####/8a33353ac0392990_0
- /data/data/####/8b25069aebc5af4b_0
- /data/data/####/8c6fca54a4ecf1d2_0
- /data/data/####/8c6fca54a4ecf1d2_1
- /data/data/####/8dcc5e4e17898e9c_0
- /data/data/####/92de2ab0040e40da_0
- /data/data/####/948da6b15af6a316_0
- /data/data/####/9712dea9952ba634_0
- /data/data/####/9b8609039f8b07a5_0
- /data/data/####/9d43f3529d6141e1_0
- /data/data/####/9faf81b63e3d0340_0
- /data/data/####/9fd3b71e40fc7d84_0
- /data/data/####/9fd3b71e40fc7d84_1
- /data/data/####/CURRENT
- /data/data/####/Cookies-journal
- /data/data/####/Databases.db-journal
- /data/data/####/MANIFEST-000001
- /data/data/####/QuotaManager-journal
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/a07ef4f74a3ddc93_0
- /data/data/####/a5b9a040d55c722d_0
- /data/data/####/a6eedbef96dba193_0
- /data/data/####/a74af0e18c06b4cc_0
- /data/data/####/a7e437b14f167217_0
- /data/data/####/a98e56466bb09f45_0
- /data/data/####/a98e56466bb09f45_1
- /data/data/####/aa3afe4d2439e998_0
- /data/data/####/abd2148f68bfd279_0
- /data/data/####/b1f5f58994d1a1f1_0
- /data/data/####/b3105d7e1f397b67_0
- /data/data/####/b50dc3a4db5f9417_0 (deleted)
- /data/data/####/b807e9d22ba4aa2b_0
- /data/data/####/b831d6393f2077bf_0
- /data/data/####/b933c77c007dda61_0
- /data/data/####/b976f004879f120d_0
- /data/data/####/bb1745f95fd3bf02_0
- /data/data/####/bd2132c75d29e70c_0
- /data/data/####/c13687d86c506870_0
- /data/data/####/c2ea4a38d76f8aac_0
- /data/data/####/c382ebf1dcaa9264_0
- /data/data/####/c38f821e78893825_0
- /data/data/####/c4644c9626e9909b_0
- /data/data/####/c5d14200694b3e7a_0
- /data/data/####/c6526139b6b9373f_0 (deleted)
- /data/data/####/c727649b0f465791_0 (deleted)
- /data/data/####/c73af55274a9998c_0
- /data/data/####/c79e7974b0cc227f_0
- /data/data/####/cbfff9171dae36df_0
- /data/data/####/ccb1515785703f5f_0
- /data/data/####/cdc2f822d1d93bda_0
- /data/data/####/ce1113132a242671_0
- /data/data/####/cedb8685fd16c2d7_0
- /data/data/####/cf926018a4e168d5_0 (deleted)
- /data/data/####/cfeb54337b726a7c_0
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.oat
- /data/data/####/classesvpn.dex
- /data/data/####/classesvpn.dex.flock (deleted)
- /data/data/####/com.xcds.bat_preferences.xml
- /data/data/####/d0d6809d192427f2_0
- /data/data/####/d22af0be3d9aa39e_0
- /data/data/####/d4ce28724c960ccd_0
- /data/data/####/d500e401b44a550c_0
- /data/data/####/d77a54ca8d0b1b1d_0
- /data/data/####/d7cc1dfb3d255c34_0
- /data/data/####/d86224a95f8831d4_0
- /data/data/####/d8e45cb8c4b11b56_0 (deleted)
- /data/data/####/dae66713005f59aa_0
- /data/data/####/dbb63c1da2395268_0
- /data/data/####/ddfe56bae137cbdd_0
- /data/data/####/de39cb904028bdcf_0
- /data/data/####/e15df64326847cdb_0
- /data/data/####/e1fc5b23606bceaa_0
- /data/data/####/e50e343ba40f460e_0
- /data/data/####/e56cfece7f47e7e8_0
- /data/data/####/e571867f30b32279_0
- /data/data/####/e571867f30b32279_1
- /data/data/####/e905a548f4ebd07d_0
- /data/data/####/ebb1533a95b7d0be_0
- /data/data/####/ebd7938ba1f395cd_0
- /data/data/####/ec23b1aa14779973_0
- /data/data/####/ec5d3d5060403d37_0
- /data/data/####/ed7d17164df15c5d_0
- /data/data/####/f20668f93093ef55_0
- /data/data/####/f20668f93093ef55_1
- /data/data/####/f4d6dbca0a290b12_0 (deleted)
- /data/data/####/f6ac1661f923b6a5_0
- /data/data/####/f76eb2ebd0ac187f_0
- /data/data/####/f8cbf7d702882903_0
- /data/data/####/fa3570948799f0c4_0
- /data/data/####/https_xw.qq.com_0.localstorage-journal
- /data/data/####/index
- /data/data/####/libjiagu.so
- /data/data/####/metrics_guid
- /data/data/####/proc_auxv
- /data/data/####/the-real-index
- /data/data/####/设备码
- /data/media/####/color
- /data/media/####/size
- /data/media/####/text
- /data/media/####/xfx
- /data/media/####/xfy
- /data/misc/####/primary.prof
Другие:
Загружает динамические библиотеки:
- libjiagu
- libluajava
- libygsiyu
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
