Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.337.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) sdk.b####.biz:80
- TCP(TLS/1.0) 1####.177.14.94:443
- TCP(TLS/1.0) marke####.manga####.com:443
- TCP(TLS/1.0) firebas####.crashly####.com:443
- TCP(TLS/1.0) www.a.sh####.com:443
- TCP(TLS/1.0) sd.manga####.xyz:443
- TCP(TLS/1.0) rr6---s####.g####.com:443
- TCP(TLS/1.0) p.s.3####.cn:443
- TCP(TLS/1.0) rr3---s####.g####.com:443
- TCP(TLS/1.0) d####.fl####.com:443
- TCP(TLS/1.0) sdk.s.360.####.com:443
- TCP(TLS/1.0) sz.manga####.xyz:443
- TCP(TLS/1.0) api.copyman####.com:443
- TCP(TLS/1.0) firebas####.google####.com:443
- TCP(TLS/1.0) sc.manga####.xyz:443
- TCP(TLS/1.0) app-mea####.com:443
- TCP(TLS/1.0) pla####.google####.com:443
- TCP(TLS/1.0) hi77-ov####.manga####.xyz:443
- TCP(TLS/1.0) c####.3####.com:443
- TCP(TLS/1.0) g####.cn:443
- TCP(TLS/1.0) rr5---s####.g####.com:443
- TCP(TLS/1.2) firebas####.google####.com:443
- TCP(TLS/1.2) app-mea####.com:443
- TCP(TLS/1.2) pla####.google####.com:443
- TCP(TLS/1.2) 1####.177.14.104:443
- UDP 1####.194.163.20:443
- UDP firebas####.google####.com:443
- TCP sdk.z####.cn:10018
Запросы DNS:
- and####.cli####.go####.com
- and####.google####.com
- api.copyman####.com
- api.manga####.com
- app-mea####.com
- c####.3####.com
- d####.fl####.com
- firebas####.crashly####.com
- firebas####.google####.com
- g####.cn
- hi77-ov####.manga####.xyz
- marke####.manga####.com
- p.s.3####.cn
- pla####.google####.com
- pla####.googleu####.com
- rr3---s####.g####.com
- rr5---s####.g####.com
- rr6---s####.g####.com
- s####.s.360.cn
- s3.manga####.xyz
- sb.manga####.xyz
- sc.manga####.xyz
- sd####.hubc####.com.cn
- sd.manga####.xyz
- sdk.b####.biz
- sdk.z####.cn
- sl.manga####.xyz
- sp.manga####.xyz
- ss.manga####.xyz
- sw.manga####.xyz
- sx.manga####.xyz
- sy.manga####.xyz
- sz.manga####.xyz
- www.b####.com
Запросы HTTP GET:
- firebas####.crashly####.com:443/spi/v2/platforms/android/gmp/1:108401173...
- sdk.s.360.####.com:443/su/index.php?k=####&av=####&slv=####&sv=####&be=#...
- www.a.sh####.com:443/
Запросы HTTP POST:
- c####.3####.com:443/new_cfg?sv=####&id=####&kc=####
- c####.3####.com:443/new_cfg?sv=####&id=####&kc=####&new_user_cfg=####
- d####.fl####.com:443/v1/flr.do
- firebas####.google####.com:443/v1/projects/copymanga-238f7/installations
- g####.cn:443/app/ac.do
- p.s.3####.cn:443/pstat/plog.php
- p.s.3####.cn:443/update/update.php?p=####
- sdk.b####.biz/v1/api/sdk/task/list/p
- sdk.b####.biz/v2/api/sdk/log/p
- sdk.b####.biz/v4/api/sdk/cf/p
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.YFlurrySenderIndex.info.AnalyticsData_8YQXG3BX...J5_326
- /data/data/####/.YFlurrySenderIndex.info.StreamingMain
- /data/data/####/.hptc.cache_m.copymanga.app
- /data/data/####/.hptc_kache_m.copymanga.app
- /data/data/####/.jg.ac
- /data/data/####/.reaper_action_file.txt
- /data/data/####/.reaper_activate_file.txt
- /data/data/####/.yflurrydatasenderblock.c8278f97-4542-41ba-94dc...d4df1a
- /data/data/####/0bca70995becf667f4d15e6ae404380b
- /data/data/####/0d08f947f8a9bc8efbcdb0acdc2f1f71
- /data/data/####/16ae463de8f5b529979cede4968297f8
- /data/data/####/1fa521285bd5c52b8405eac28a1f220f
- /data/data/####/208d7e3b1332c6d32c1f49afcb7215f4
- /data/data/####/20dab973d22b8dc1859ba8d98bc2a11a
- /data/data/####/239cf22ead612dd31de7e9ec89a049d4
- /data/data/####/2b7cb7dcf503442051f8a96d1f0accf9
- /data/data/####/311a0cad49ebb92382b3bd141f949c34
- /data/data/####/35995baff4bc93d16af4fe86693e8888
- /data/data/####/35cd9b7ce956279b934158ce1b999f94
- /data/data/####/3651162b3d6bd3631d167974aa918f37
- /data/data/####/3a770892d9fe5352c5388b3c75881e6f
- /data/data/####/4828da4a1988ee39c032c9bebdc12d41
- /data/data/####/48f6813266f0b038993038b98918be09
- /data/data/####/516612441ac51feb1184ac2d1362586a
- /data/data/####/5636860878821421801318dc580e14af
- /data/data/####/60a9a41ea2b62144d50f57f83bb92f61
- /data/data/####/60ee2206dbae039a405f8520ed05dffe
- /data/data/####/6129be449cbd198cffe1cc87eeee14d4
- /data/data/####/66c95e9f3200faace43d018e33f362e9
- /data/data/####/685e4c51735925daa2456614f74a41fa
- /data/data/####/6af8576e2103c843afc1d503433c3509
- /data/data/####/6cedcddd197d4fe6ddd45f5bb7a1d6a3
- /data/data/####/749613d04c256752f523d59612d7960a
- /data/data/####/7c0376750d790a6e9b315dfa79e86c76
- /data/data/####/9ff0ebc7b7d2b042569f1b6fc19927e9
- /data/data/####/Device_File.lock
- /data/data/####/FLURRY_SHARED_PREFERENCES.xml
- /data/data/####/FirebaseHeartBeatW0RFRkFVTFRd+MToxMDg0MDExNzM1N...MQ.xml
- /data/data/####/FlutterSharedPreferences.xml
- /data/data/####/LD_SP_LOCK_FILE.lock
- /data/data/####/LD_SP_LOCK_FILE_LD_ID.lock
- /data/data/####/PersistedInstallation.W0RFRkFVTFRd+MToxMDg0MDEx...Q.json
- /data/data/####/PersistedInstallation130861548tmp
- /data/data/####/PersistedInstallation484368171tmp
- /data/data/####/QH_SDK_M2.xml
- /data/data/####/QH_SDK_UserDatadd458505749b2941217ddd59394240e8.xml
- /data/data/####/QH_SDK_UserDatadd458505749b2941217ddd59394240e8.xml.bak
- /data/data/####/QH_SDK_sessionIDdd458505749b2941217ddd59394240e8
- /data/data/####/SP_EVENTLIST_FILE_NAMEdd458505749b2941217ddd59394240e8
- /data/data/####/Y29tLmNvcHltYW5nYS5hcHA=.tick.lock
- /data/data/####/a159b5943eca8d9bf76b5036dd8702b8
- /data/data/####/aeb8df180281e8d29198865270341a90
- /data/data/####/b9714a1ef2184e0bf4762fc3a8ba47a4
- /data/data/####/bb18ab3edd7b655e199363ffff3fbb13
- /data/data/####/beizisdk_config.xml
- /data/data/####/c75906bb36df39a83866ba01a6930c72
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.dex;classes3.dex
- /data/data/####/classes.dex;classes4.dex
- /data/data/####/classes.dex;classes5.dex
- /data/data/####/classes.dex;classes6.dex
- /data/data/####/classes.dex;classes7.dex
- /data/data/####/com.crashlytics.settings.json
- /data/data/####/com.google.android.datatransport.events-journal
- /data/data/####/com.google.android.gms.measurement.prefs.xml
- /data/data/####/com.google.android.gms.measurement.prefs.xml.bak
- /data/data/####/com.google.firebase.crashlytics.xml
- /data/data/####/completed-1716809360180
- /data/data/####/currentFile
- /data/data/####/databasesmy.db-journal
- /data/data/####/db0273e1529672ed528be7113806a5e8
- /data/data/####/db46f2c5d4fd0f448014b5835f188455
- /data/data/####/dbb20c5ba651e2b6070347ac2e22fec2
- /data/data/####/dc_cache_file
- /data/data/####/dc_cache_file_temp
- /data/data/####/e0c5b54b81356e28a45ed30e729c8893
- /data/data/####/e40ed6f84bb3f1b072bb411bcfcebf2c
- /data/data/####/e6cb7cd7de0eed7853c392181e0b8e12
- /data/data/####/e99364e3585e1b3b67fc7d7eb01d5dac
- /data/data/####/edfe1631a8817f669ef06a3f56b1eabd
- /data/data/####/f65b1ffc6cee148246ef399be2d330db
- /data/data/####/f6d425c87b18e5e9db116e8c20dc590e
- /data/data/####/fc96515f46eb6803e58ff7f0e41e9244
- /data/data/####/fd5d74bbfcffab3841995e8304588eb0
- /data/data/####/firebase_session_settings.preferences_pb
- /data/data/####/firebase_session_settings.preferences_pb.tmp
- /data/data/####/fusion_config.xml
- /data/data/####/generatefid.lock
- /data/data/####/google_app_measurement_local.db
- /data/data/####/google_app_measurement_local.db-journal
- /data/data/####/initialization_marker
- /data/data/####/installationNum
- /data/data/####/jgobfppppp (deleted)
- /data/data/####/ld_cache_file
- /data/data/####/ld_cache_file (deleted)
- /data/data/####/ld_cache_file_temp
- /data/data/####/libjiagu_64.so
- /data/data/####/notice.xml
- /data/data/####/pangle_meta_data_sp.xml
- /data/data/####/pangle_meta_data_sp.xml.bak
- /data/data/####/proc_auxv
- /data/data/####/reaper_adv_config.db
- /data/data/####/reaper_adv_config.db-journal
- /data/data/####/reaper_adv_config.db-journal (deleted)
- /data/data/####/reaper_adv_config.db-shm (deleted)
- /data/data/####/reaper_adv_config.db-wal
- /data/data/####/reaper_adv_config.db-wal (deleted)
- /data/data/####/reaper_runtime.db-journal
- /data/data/####/report
- /data/data/####/sp_reaper_config.xml
- /data/data/####/sp_reaper_config.xml.bak
- /data/data/####/start-time
- /data/data/####/update_lc
- /data/data/####/userlog
- /data/media/####/0Sn (deleted)
- /data/media/####/dd458505749b2941217ddd59394240e8
- /data/media/####/dd458505749b2941217ddd59394240e8 (deleted)
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- ls -l /system/bin/su
Загружает динамические библиотеки:
- libflutter
- libjiagu_64
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5PADDING
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- RC4
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS5PADDING
- AES-CBC-PKCS7Padding
- RC4
- RSA-ECB-PKCS1Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
