Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.DownLoader.1116.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 64.2####.165.94:80
- TCP(HTTP/1.1) www.forfo####.com:80
- TCP(HTTP/1.1) 1####.144.118.230:80
- TCP(HTTP/1.1) dct.g####.com:80
- TCP(TLS/1.0) 1####.194.163.20:443
- TCP(TLS/1.0) ech####.xyz:443
- TCP(TLS/1.0) pro.qazws####.xyz:443
- TCP(TLS/1.0) a####.xl####.com:443
- TCP(TLS/1.0) md####.google####.com:443
- TCP(TLS/1.0) sdk.appclic####.com:443
- TCP(TLS/1.0) geo.appclic####.com:443
- TCP(TLS/1.0) dy.kr.wildpet####.info:443
- TCP(TLS/1.0) and####.a####.go####.com:443
- TCP(TLS/1.0) rr9---s####.g####.com:443
- TCP(TLS/1.0) 64.2####.165.94:443
- TCP(TLS/1.0) sdk-eve####.ap-sout####.log.####.com:443
- TCP(TLS/1.2) 64.2####.165.104:443
- TCP(TLS/1.2) 74.1####.131.139:443
- TCP(TLS/1.2) 64.2####.165.94:443
- TCP(TLS/1.2) md####.google####.com:443
- TCP if2####.if.na.####.com:6065
- TCP 1####.14.156.170:44107
- UDP rr18---####.g####.com:443
- TCP 43.1####.86.22:800
- UDP md####.google####.com:443
- TCP 1####.190.123.199:9001
- TCP 1####.14.154.30:1714
- TCP mu_1####.mu.na.####.com:6065
- TCP 43.1####.118.39:800
Запросы DNS:
- a####.xl####.com
- and####.a####.go####.com
- and####.google####.com
- dct.g####.com
- dy.kr.wildpet####.info
- ech####.xyz
- geo.appclic####.com
- if2####.if.na.####.com
- md####.google####.com
- mu_1####.mu.na.####.com
- pro.qazws####.xyz
- rr18---####.g####.com
- rr9---s####.g####.com
- sdk-eve####.ap-sout####.log.####.com
- sdk.appclic####.com
- vand####.com
- www.enteren####.com
- www.forfo####.com
- www.goo####.com
- www.nicenic####.com
Запросы HTTP GET:
- dct.g####.com/d/bcc/v2/o/630746a59b8c3ca8af384c650c01d2fb
- dct.g####.com/d/bcc/v2/s/4dfad25f492cd1bdf7cb5de4ff508957
- geo.appclic####.com:443/
- sdk.appclic####.com:443/check2?channel=####&geo=####&net=####&osv=####
- sdk.appclic####.com:443/stg?channel=####&sdk=####
- www.forfo####.com/?timestamp=####&version=####&biz=####&os=####&id=####&...
Запросы HTTP POST:
- a####.xl####.com:443/v1/mes/get
- a####.xl####.com:443/v1/mos/get
- dy.kr.wildpet####.info:443/dykr/update
- ech####.xyz:443/ota/api/conf/v1?m=####&n=####&syn=####&t=####
- ech####.xyz:443/ota/api/tasks/v2?m=####&n=####&syn=####&t=####
- ech####.xyz:443/ota/data/t/v1?m=####&n=####&syn=####&t=####
- pro.qazws####.xyz:443/proxy/get?e=####&r=####
- sdk-eve####.ap-sout####.log.####.com:443/logstores/info/track
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-1.dex_1699252530440_218a568623b25a48_170038697...leted)
- /data/data/####/-1.dex_1699252530440_218a568623b25a48_1700386977044.rf
- /data/data/####/-1.dex_1699252530440_218a568623b25a48_1700386977044.rf.dex
- /data/data/####/.2faae39862f8a2f4ed009c6920b78911
- /data/data/####/.3c6c200f64cc91f00d33e0fc8604c632
- /data/data/####/.55af126eaa39881dd5d4c416c1791c32
- /data/data/####/.613ae521417017da64738912e13fcf2b
- /data/data/####/.69437f75ef4c1f615984b1fa6acde1e6
- /data/data/####/.6aeebbe99a100f989be043c794bcbbe7
- /data/data/####/.85c76f95fe5baf8fc810e22af7131d4d
- /data/data/####/.889fb5368270a7657843ba99e5f6bc87
- /data/data/####/.91a70d6b93717fa66b449c4e5f20ac1e
- /data/data/####/.a625605dd1e7e939992307476df099aa
- /data/data/####/.p.dex
- /data/data/####/.p.dex.flock (deleted)
- /data/data/####/.p.jar
- /data/data/####/.pylock
- /data/data/####/.q.dex
- /data/data/####/.q.dex.flock (deleted)
- /data/data/####/.q.jar
- /data/data/####/PROXYDATA.xml
- /data/data/####/PROXYDATA.xml.bak
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/com.system.kber.tbox_preferences.xml
- /data/data/####/curtain_sp.xml
- /data/data/####/device_id.xml.xml
- /data/data/####/dy_live.xml
- /data/data/####/hs.cuid.v1.xml
- /data/data/####/hs.prefs.xml
- /data/data/####/kdid
- /data/data/####/life_record_config.xml
- /data/data/####/metrics_guid
- /data/data/####/persistvendor.xml
- /data/data/####/simple-main-msg.dat
- /data/media/####/.cuid.v1
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- cat /sys/class/net/wlan0/address
- sh
- which su
Загружает динамические библиотеки:
- libanl
Использует следующие алгоритмы для шифрования данных:
- AES
- AES-CBC-NoPadding
- AES-CFB-NoPadding
- AES-ECB-PKCS5Padding
- DES
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-NoPadding
- AES-CFB-NoPadding
- AES-ECB-PKCS5Padding
- DES
Использует повышенные привилегии.
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
Имеет подозрительные повреждения, типичные для вредоносных файлов.
