Android.RemoteCode.8281

Техническая информация

Вредоносные функции:

Выполняет код следующих детектируемых угроз:

Android.RemoteCode.337.origin

Сетевая активность:

Подключается к:

UDP(DNS) 8####.8.4.4:53
UDP(DNS) <Google DNS>
TCP(HTTP/1.1) cgi.con####.qq.com:80
TCP(TLS/1.0) rr9---s####.g####.com:443
TCP(TLS/1.0) new-####.u####.com:443
TCP(TLS/1.0) def####.duals####.cn.####.com:443
TCP(TLS/1.0) 64.2####.161.94:443
TCP(TLS/1.0) u####.u####.com:443
TCP(TLS/1.0) www.a.sh####.com:443
TCP(TLS/1.0) images-####.qini####.com:443
TCP(TLS/1.0) and####.cli####.go####.com:443
TCP(TLS/1.0) rr6---s####.g####.com:443
TCP(TLS/1.0) p####.google####.com:443
TCP(TLS/1.0) rr2---s####.g####.com:443
TCP(TLS/1.0) im####.manma####.com.####.com:443
TCP(TLS/1.0) f####.gst####.com:443
TCP(TLS/1.0) digital####.google####.com:443
TCP(TLS/1.0) cgi.con####.qq.com:443
TCP(TLS/1.2) p####.google####.com:443
TCP(TLS/1.2) 64.2####.161.94:443
UDP p####.google####.com:443
UDP digital####.google####.com:443
TCP api.tm####.com:443
TCP arm.z####.cn:10015
TCP images-####.qini####.com:443

Запросы DNS:

a####.u####.com
and####.cli####.go####.com
and####.google####.com
api.tm####.com
arm.z####.cn
cgi.con####.qq.com
d####.y5####.com
deep####.u####.com
digital####.google####.com
f####.gst####.com
im####.manma####.com
im####.tm####.com
p####.google####.com
rr2---s####.g####.com
rr6---s####.g####.com
rr9---s####.g####.com
t####.rea####.com
u####.u####.com
www.b####.com

Запросы HTTP GET:

cgi.con####.qq.com:443/qqconnectopen/openapi/policy_conf?status_os=####&...
im####.manma####.com.####.com:443/banner/5bda63f724ea5.jpg
im####.manma####.com.####.com:443/banner/5c2087f1a219e.jpg
im####.manma####.com.####.com:443/banner/5c6d0b9f3504f.jpg
im####.manma####.com.####.com:443/banner/5cac3b17ae8cf.jpg
im####.manma####.com.####.com:443/banner/5e3e2c3321326.jpg
im####.manma####.com.####.com:443/hot/5b38d0e63807c.png
im####.manma####.com.####.com:443/hot/5b38d11375bc9.png
im####.manma####.com.####.com:443/hot/5dca944169511.png
im####.manma####.com.####.com:443/hot/5e88ad3aaac3c.png
im####.manma####.com.####.com:443/works/cover/583824c331d11.jpg
im####.manma####.com.####.com:443/works/cover/5cd1687e4aa8a.jpg
im####.manma####.com.####.com:443/works/cover/5cd93fb1c4232.jpg
im####.manma####.com.####.com:443/works/cover/5dafcadc0430d.jpg
im####.manma####.com.####.com:443/works/vertical/590316b2354d9.jpg
im####.manma####.com.####.com:443/works/vertical/599eef1996abe.jpg
im####.manma####.com.####.com:443/works/vertical/5c73539d33b08.jpg
im####.manma####.com.####.com:443/works/vertical/5c94c17e660ab.jpg
im####.manma####.com.####.com:443/works/vertical/5c9854a6795a5.jpg
im####.manma####.com.####.com:443/works/vertical/5dafd0ece7f94.jpg
im####.manma####.com.####.com:443/works/vertical/5db002a896d09.jpg
im####.manma####.com.####.com:443/works/vertical/5e25428fc874c.jpg
im####.manma####.com.####.com:443/works/vertical/5e26b7abc53c1.jpg
im####.manma####.com.####.com:443/works/vertical/5e3aa9ac8d482.jpg
im####.manma####.com.####.com:443/works/vertical/61cd2cb549879.jpg
im####.manma####.com.####.com:443/works/vertical/6343b0394c159.jpg
images-####.qini####.com:443/comic/cover/65ae41183e2c2.jpg
images-####.qini####.com:443/comic/cover/65b08159a2511.jpg
images-####.qini####.com:443/comic/cover/65bfb0494e596.jpg
images-####.qini####.com:443/comic/cover/65bfb083e571a.jpg
images-####.qini####.com:443/works/vertical/64be37e8c6cdf.jpg
images-####.qini####.com:443/works/vertical/65154ca05ac7d.jpg
images-####.qini####.com:443/works/vertical/65ae4676e5d8b.jpg
www.a.sh####.com:443/

Запросы HTTP POST:

def####.duals####.cn.####.com:443/deeplink/match
new-####.u####.com:443/api/postZdata
u####.u####.com:443/unify_logs
u####.u####.com:443/zcfg

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/-1959160409
/data/data/####/-417910212
/data/data/####/-989579386
/data/data/####/.fsgkea
/data/data/####/.imprint
/data/data/####/.jg.ac
/data/data/####/.jg.ri
/data/data/####/.jg.store.report_cf
/data/data/####/.jg.store.report_pid
/data/data/####/37cB7VBofGLlTZgGTIoEWmPt4UI.1085815452.tmp
/data/data/####/37cB7VBofGLlTZgGTIoEWmPt4UI.cnt
/data/data/####/3qLpfmN8DlAUOqz0hiGFyHZTx2o.cnt
/data/data/####/6455f9c0c1dca.jpg
/data/data/####/8lZHeISu2_t-JrTIFm4nv4xTOWk.1043311936.tmp
/data/data/####/8lZHeISu2_t-JrTIFm4nv4xTOWk.cnt
/data/data/####/Alvin2.xml
/data/data/####/BBrwxAbuF3nhN0PY_VIn3Q8NKjg.1019446535.tmp
/data/data/####/BBrwxAbuF3nhN0PY_VIn3Q8NKjg.cnt
/data/data/####/BuglySdkInfos.xml
/data/data/####/ContextData.xml
/data/data/####/Fwl7rnKW0DOdl31varx3hR_lc2Y.571982121.tmp
/data/data/####/Fwl7rnKW0DOdl31varx3hR_lc2Y.cnt
/data/data/####/K7_rRA0_e6X-z4YOoLME1v_MHUA.979845620.tmp
/data/data/####/KBVf4HdAyDxHg_h5GiEy5QG6L9E.57850171.tmp
/data/data/####/KBVf4HdAyDxHg_h5GiEy5QG6L9E.cnt
/data/data/####/L3EoNRg9Nke5mP3MMoGc8bc-1GE.cnt
/data/data/####/LBuq64VDo8kTKXTWUpT2svgTP4s.1131259825.tmp
/data/data/####/LBuq64VDo8kTKXTWUpT2svgTP4s.cnt
/data/data/####/MInZ23eP3d5Bw5Yrw7sziZk85CM.1575219744.tmp
/data/data/####/MInZ23eP3d5Bw5Yrw7sziZk85CM.cnt
/data/data/####/ManMan.db
/data/data/####/ManMan.db-journal
/data/data/####/MyKK3YhVY1J-qXClpsGjS-xtzrU.1804731763.tmp
/data/data/####/MyKK3YhVY1J-qXClpsGjS-xtzrU.cnt
/data/data/####/OGV28JH_7fZu_bM9xmwWinvCvVo.904630991.tmp
/data/data/####/OGV28JH_7fZu_bM9xmwWinvCvVo.cnt
/data/data/####/On7nuZwptqpbxrrbXd2uyMpKF9k.1436798598.tmp
/data/data/####/QDepVQRjAFu4uLQ7zj9xkwymSPc.1215715153.tmp
/data/data/####/QDepVQRjAFu4uLQ7zj9xkwymSPc.cnt
/data/data/####/Report_Data.xml
/data/data/####/STkJ9S_42YG0NCfuY5p7_uBWxUA.2036167579.tmp
/data/data/####/STkJ9S_42YG0NCfuY5p7_uBWxUA.cnt
/data/data/####/Si56cPMl8yh2vSFlGanWcUPAJ04.963101257.tmp
/data/data/####/Si56cPMl8yh2vSFlGanWcUPAJ04.cnt
/data/data/####/Tv-qcu91kztcF31l3dPbAZbpnhA.612996509.tmp
/data/data/####/UM_PROBE_DATA.xml
/data/data/####/VbOf53QS79XkOSgA9R3YhqGMOnI.253310338.tmp
/data/data/####/WOsDNXjjEob3Bh7kzC9Ku9iYG5U.434321853.tmp
/data/data/####/WOsDNXjjEob3Bh7kzC9Ku9iYG5U.cnt
/data/data/####/YuYENwkGPvKc9cHG9r3pvlhw5F4.1582191273.tmp
/data/data/####/YuYENwkGPvKc9cHG9r3pvlhw5F4.cnt
/data/data/####/__wk_agent___l.xml
/data/data/####/__wk_agent_dcdau
/data/data/####/__wk_agent_sdk_33.xml
/data/data/####/__wk_agent_sdk_chid.xml
/data/data/####/__wk_agent_session.xml
/data/data/####/__wk_agent_session.xml.bak
/data/data/####/__wk_common_cache_i.xml
/data/data/####/about_reader.xml
/data/data/####/classes.dex
/data/data/####/classes.dex;classes2.dex
/data/data/####/classes.dex;classes3.dex
/data/data/####/com.tencent.open.config.json.1103858651
/data/data/####/com_itcode_reader_wkstore.db-journal
/data/data/####/d7lRhyQknYtMVu_9ge2eiJLxP98.580695848.tmp
/data/data/####/d7lRhyQknYtMVu_9ge2eiJLxP98.cnt
/data/data/####/exchangeIdentity.json
/data/data/####/exid.dat
/data/data/####/gdt_ad.xml
/data/data/####/home_action_sp.xml
/data/data/####/home_ad.xml
/data/data/####/i==1.2.0&&5.2.43_1709546602178_dW5pZnlfbG9ncw==;.log
/data/data/####/is_network.xml
/data/data/####/jgobfppppp (deleted)
/data/data/####/jmczrbbdiIoMbufyZgd1avWswhQ.160944508.tmp
/data/data/####/jmczrbbdiIoMbufyZgd1avWswhQ.cnt
/data/data/####/kgH8pp8f2tpRXQCdgsyLWkaR04U.cnt
/data/data/####/lZ7wO7rJulUJOV9MDJJUmF-OlgI.776062828.tmp
/data/data/####/lZ7wO7rJulUJOV9MDJJUmF-OlgI.cnt
/data/data/####/lbIpqHheY3xndoa9SeNR5fHZNCI.1291492623.tmp
/data/data/####/lbIpqHheY3xndoa9SeNR5fHZNCI.cnt
/data/data/####/libjiagu.so
/data/data/####/manman_token_sp.xml
/data/data/####/ntg0wxcWff5V1jO5w1U3wRb3jBg.811316378.tmp
/data/data/####/ntg0wxcWff5V1jO5w1U3wRb3jBg.cnt
/data/data/####/oLT5h8vRkYkoAxekc3JhkEnaTNQ.2022411202.tmp
/data/data/####/oLT5h8vRkYkoAxekc3JhkEnaTNQ.cnt
/data/data/####/od9575skd7mq0AdwNQq5b1JR2WQ.1514022484.tmp
/data/data/####/od9575skd7mq0AdwNQq5b1JR2WQ.cnt
/data/data/####/proc_auxv
/data/data/####/share_data.xml
/data/data/####/share_data.xml.bak
/data/data/####/sp_file_name.xml
/data/data/####/startDspService.xml
/data/data/####/start_table.xml
/data/data/####/t==9.4.4&&5.2.43_1709546601880_dW5pZnlfbG9ncw==;.log
/data/data/####/ua.db
/data/data/####/ua.db-journal
/data/data/####/um_policy_grant.xml
/data/data/####/um_pri.xml
/data/data/####/um_session_id.xml
/data/data/####/umeng_common_config.xml
/data/data/####/umeng_general_config.xml
/data/data/####/umeng_it.cache
/data/data/####/umeng_policy_result_flag
/data/data/####/umeng_zcfg_flag
/data/data/####/umeng_zero_cache.db
/data/data/####/umeng_zero_cache.db-journal
/data/data/####/umzid_general_config.xml
/data/data/####/wk__mon_seq_main.xml
/data/data/####/wk__mon_seq_main.xml.bak
/data/data/####/wk_u0d2i2d5.xml
/data/data/####/yVUV32TBnpD5EsVeGijBTUI54LY.234007493.tmp
/data/data/####/z==1.2.0&&5.2.43_1709546600727_emNmZw==;.log
/data/media/####/20240304.txt
/data/media/####/8E848C4AF1CF2DA273E13E98F44B6B9D
/data/media/####/Alvin2.xml
/data/media/####/ContextData.xml
/data/media/####/com.tencent.mobileqq_connectSdk.24.03.04.13.log
/data/misc/####/primary.prof

Другие:

Запускает следующие shell-скрипты:

/system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
/system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
getprop ro.build.version.emui
getprop ro.build.version.opporom
getprop ro.miui.ui.version.name
getprop ro.smartisan.version
getprop ro.vivo.os.version
logcat *:v | grep (3790)
logcat *:v | grep (3875)
logcat *:v | grep "(3790)"
logcat *:v | grep "(3875)"
logcat *:v | grep \
ls /
ls /sys/class/thermal

Загружает динамические библиотеки:

libfb_jpegturbo
libimagepipeline
libjiagu
libparams-lib

Использует следующие алгоритмы для шифрования данных:

AES-CBC-NoPadding
AES-CBC-PKCS5Padding
AES-CBC-PKCS7Padding
RSA-ECB-PKCS1Padding

Использует следующие алгоритмы для расшифровки данных:

AES
AES-CBC-PKCS7Padding
RSA-ECB-PKCS1Padding

Осуществляет доступ к приватному интерфейсу ITelephony.

Использует специальную библиотеку для скрытия исполняемого байт-кода.

Получает информацию о сети.

Получает информацию о телефоне (номер, IMEI и т. д.).

Отрисовывает собственные окна поверх других приложений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней