Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.337.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) bqm.1####.cn:80
- TCP(HTTP/1.1) c####.jq####.com:80
- TCP(TLS/1.0) api.onesi####.com:443
- TCP(TLS/1.0) 1####.177.14.94:443
- TCP(TLS/1.0) googl####.g.doublec####.net:443
- TCP(TLS/1.0) rr2---s####.g####.com:443
- TCP(TLS/1.0) tophdw####.com:443
- TCP(TLS/1.0) www.a.sh####.com:443
- TCP(TLS/1.0) and####.a####.go####.com:443
- TCP(TLS/1.0) firebas####.google####.com:443
- TCP(TLS/1.2) 64.2####.162.94:443
- TCP(TLS/1.2) 1####.177.14.94:443
- TCP(TLS/1.2) 2####.85.233.138:443
- TCP(TLS/1.2) 1####.177.14.106:443
- TCP(TLS/1.2) and####.a####.go####.com:443
- TCP(TLS/1.2) firebas####.google####.com:443
- TCP(TLS/1.2) 1####.250.150.100:443
- UDP firebas####.google####.com:443
- UDP rr2---s####.g####.com:443
Запросы DNS:
- and####.a####.go####.com
- and####.google####.com
- api.onesi####.com
- app-mea####.com
- bqm.1####.cn
- c####.jq####.com
- firebas####.google####.com
- firebas####.google####.com
- gmscomp####.google####.com
- googl####.g.doublec####.net
- rr2---s####.g####.com
- tophdw####.com
- www.b####.com
- www.google####.com
- xm####.com
Запросы HTTP GET:
- api.onesi####.com:443/apps/8a623a63-5730-40a5-92d3-71379382665b/android_...
- bqm.1####.cn/favicon.ico
- bqm.1####.cn/jc/v.php
- c####.jq####.com/jquery-1.4.2.min.js
- tophdw####.com:443/images/black_cat/100.webp
- tophdw####.com:443/images/black_cat/101.webp
- tophdw####.com:443/images/black_cat/19.webp
- tophdw####.com:443/images/black_cat/24.webp
- tophdw####.com:443/images/black_cat/30.webp
- tophdw####.com:443/images/black_cat/31.webp
- tophdw####.com:443/images/black_cat/32.webp
- tophdw####.com:443/images/black_cat/67.webp
- tophdw####.com:443/images/black_cat/68.webp
- tophdw####.com:443/images/black_cat/93.webp
- tophdw####.com:443/images/pages/ico_v/10157.png
- tophdw####.com:443/images/pages/ico_v/10298.jpg
- tophdw####.com:443/images/pages/ico_v/39630.jpg
- tophdw####.com:443/images/pages/ico_v/43545.jpg
- tophdw####.com:443/images/pages/ico_v/46356.jpg
- tophdw####.com:443/images/pages/ico_v/48397.png
- tophdw####.com:443/images/pages/ico_v/49788.jpeg
- tophdw####.com:443/images/pages/ico_v/56184.jpg
- tophdw####.com:443/images/pages/ico_v/56804.jpg
- tophdw####.com:443/images/pages/ico_v/60751.jpg
- tophdw####.com:443/images/pages/ico_v/62876.png
- tophdw####.com:443/images/pages/ico_v/68028.jpg
- tophdw####.com:443/images/pages/ico_v/74174.png
- tophdw####.com:443/images/pages/ico_v/78574.jpg
- tophdw####.com:443/images/pages/ico_v/80716.jpg
- tophdw####.com:443/images/pages/ico_v/84813.jpg
- tophdw####.com:443/images/pages/ico_v/84980.jpg
- tophdw####.com:443/images/pages/ico_v/84985.jpg
- tophdw####.com:443/images/pages/ico_v/85207.jpg
- tophdw####.com:443/images/pages/ico_v/85288.jpg
- tophdw####.com:443/images/pages/ico_v/85511.jpg
- tophdw####.com:443/images/pages/pic_v/10157.png
- tophdw####.com:443/images/pages/pic_v/11231.jpg
- tophdw####.com:443/images/pages/pic_v/37673.jpg
- tophdw####.com:443/images/pages/pic_v/41534.jpg
- tophdw####.com:443/images/pages/pic_v/50753.jpg
- tophdw####.com:443/images/pages/pic_v/51831.jpg
- tophdw####.com:443/images/pages/pic_v/6664.png
- tophdw####.com:443/images/pages/pic_v/69667.jpg
- tophdw####.com:443/images/pages/pic_v/74174.png
- tophdw####.com:443/images/pages/pic_v/74443.jpg
- tophdw####.com:443/scripts/api_black.php?action=####
- tophdw####.com:443/scripts/api_black.php?category=####&type=####&page=##...
- www.a.sh####.com:443/
Запросы HTTP POST:
- api.onesi####.com:443/players
- bqm.1####.cn/jc/app.php
- bqm.1####.cn/jc/test.php
- bqm.1####.cn/jc/tj.php
- firebas####.google####.com:443/v0cc/log/batch?format=####
- firebas####.google####.com:443/v1/projects/black-wallpapers-af65d/instal...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-934491546-1685169481
- /data/data/####/-934491546560409973
- /data/data/####/-934491546936841762
- /data/data/####/.fsgkea
- /data/data/####/.jg.ac
- /data/data/####/.jg.ri
- /data/data/####/.jg.store.report_cf
- /data/data/####/.jg.store.report_pid
- /data/data/####/0ada517746f61d82f0edd892babd71e1abbfe9fa2ca92bb....0.tmp
- /data/data/####/0ada517746f61d82f0edd892babd71e1abbfe9fa2ca92bb...dba0.0
- /data/data/####/173afbbc3695a632b3ff9d49a4fbd04c94f2e1da559702c....0.tmp
- /data/data/####/173afbbc3695a632b3ff9d49a4fbd04c94f2e1da559702c...d0cf.0
- /data/data/####/1cf594f81c53312bf82909d43b44d92d21cde2853ec330d....0.tmp
- /data/data/####/1f4b1026f6c3124b3df2c41afd6764cbffcbe34c54e9d6c...a92c.0
- /data/data/####/2060314108-1733863960
- /data/data/####/2c57972de571923e7211a29a45ff2a58e856b18e4f9e3b4...4ac1.0
- /data/data/####/3330bd37f102da2334d479d7401186ee59cc8bf506ecacf...6ae7.0
- /data/data/####/366d388c8e89c50228e336db7f410d4cbd86cfa75fcae25...2fa4.0
- /data/data/####/3afaefa0cbd00000da4508a92aa12cf4f534fdc25e16b87....0.tmp
- /data/data/####/3afaefa0cbd00000da4508a92aa12cf4f534fdc25e16b87...fb8e.0
- /data/data/####/3ce70a153311208ca5432ddbb9f6fc5b3b599ab7ba74ba7....0.tmp
- /data/data/####/3ce70a153311208ca5432ddbb9f6fc5b3b599ab7ba74ba7...c7ca.0
- /data/data/####/3cf1ef358a198ba6184fb81f5ce520000cc75faded52a2f....0.tmp
- /data/data/####/3cf1ef358a198ba6184fb81f5ce520000cc75faded52a2f...b080.0
- /data/data/####/3f5166029d39b836a342803e2c7ad2e8f1f5150a02b8f2d....0.tmp
- /data/data/####/3f5166029d39b836a342803e2c7ad2e8f1f5150a02b8f2d...f44f.0
- /data/data/####/4200a0b5f87e8c130d730520ca869e7fddfdf920d2dfdcc...2902.0
- /data/data/####/44d78e138e27bb2e797e0ed1078224f018519774e0e3c9b....0.tmp
- /data/data/####/44d78e138e27bb2e797e0ed1078224f018519774e0e3c9b...a919.0
- /data/data/####/458e0f7aa24d061cd081d4de683f540379f4e46b6a08759....0.tmp
- /data/data/####/458e0f7aa24d061cd081d4de683f540379f4e46b6a08759...8529.0
- /data/data/####/47339dab212ce0313483f49bd47655b77b1420c16e3c5d9...9dbd.0
- /data/data/####/4c1fab3e2dfb40733d013d2879894385ad76f9451837d0d....0.tmp
- /data/data/####/4c1fab3e2dfb40733d013d2879894385ad76f9451837d0d...eabf.0
- /data/data/####/5a609348639611f12d39591a95d661b74cf06f8ef756998...298d.0
- /data/data/####/5d329a655652d2acaee4647c1e35706341dfa08334f6678....0.tmp
- /data/data/####/5d329a655652d2acaee4647c1e35706341dfa08334f6678...2801.0
- /data/data/####/5e4a8f801eb53ed2cb04791dc0b3274a916d926481372a1...6e8b.0
- /data/data/####/654324f02a17d1179effbb9a6c1f106861a8ea4618f0f02....0.tmp
- /data/data/####/654324f02a17d1179effbb9a6c1f106861a8ea4618f0f02...8fcb.0
- /data/data/####/69fbe453cbad3005135e2377214cad55432de220604ebdf....0.tmp
- /data/data/####/69fbe453cbad3005135e2377214cad55432de220604ebdf...f1b0.0
- /data/data/####/6d9399ea0a497bba6e29d8d880f67912119a7505ada316a...3a1f.0
- /data/data/####/74ffe794ee20acaec71727890fd396da04999cf8b74d73f...c28b.0
- /data/data/####/751c1fdd5c1b1b92a88c959d816539c01a36a24af6b805a....0.tmp
- /data/data/####/751c1fdd5c1b1b92a88c959d816539c01a36a24af6b805a...1bc3.0
- /data/data/####/77582e209315675f98687989807754e1a930700a22159ea....0.tmp
- /data/data/####/77582e209315675f98687989807754e1a930700a22159ea...e217.0
- /data/data/####/7bf8472b9ac452da_0
- /data/data/####/7bf8472b9ac452da_1
- /data/data/####/7d6552ac2a6cc93ccf3d5a18602f00ba3dcbf5eed653f49....0.tmp
- /data/data/####/7d6552ac2a6cc93ccf3d5a18602f00ba3dcbf5eed653f49...ea70.0
- /data/data/####/824821fb8122d005859e8837d2dbbb0222dc0ce6e9b1186....0.tmp
- /data/data/####/824821fb8122d005859e8837d2dbbb0222dc0ce6e9b1186...2872.0
- /data/data/####/83873d3ce502fd2bbc567edbd2d3ef740f290294b1c08a7....0.tmp
- /data/data/####/83873d3ce502fd2bbc567edbd2d3ef740f290294b1c08a7...dfac.0
- /data/data/####/8562661008a149edd91ad23208e042d59faf84e0387f190....0.tmp
- /data/data/####/8562661008a149edd91ad23208e042d59faf84e0387f190...cdb9.0
- /data/data/####/8b5e9a49136941a709d44f898c522474c5f411aac5b9a31....0.tmp
- /data/data/####/8b5e9a49136941a709d44f898c522474c5f411aac5b9a31...f807.0
- /data/data/####/8c31fd2c210f73741feeace5657592bcd1b3da9020f9778....0.tmp
- /data/data/####/8de4300bd3928ca44e73a0bcda1402f5a3b753c6766f44f....0.tmp
- /data/data/####/8de4300bd3928ca44e73a0bcda1402f5a3b753c6766f44f...55a1.0
- /data/data/####/Cookies-journal
- /data/data/####/FirebaseHeartBeatT05FU0lHTkFMX1NES19GQ01fQVBQX0...Yz.xml
- /data/data/####/FirebaseHeartBeatW0RFRkFVTFRd+MToyODIzMjI2NzgwM...Qz.xml
- /data/data/####/GTPlayerPurchases.xml
- /data/data/####/OneSignal.db-journal
- /data/data/####/OneSignal.xml
- /data/data/####/OneSignalTriggers.xml
- /data/data/####/PersistedInstallation.W0RFRkFVTFRd+MToyODIzMjI2...z.json
- /data/data/####/PersistedInstallation2120552278tmp
- /data/data/####/PersistedInstallation712680177tmp
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/aa36f7fea349d30bb0827d72c4d5186e6ac6ded5ca668ca....0.tmp
- /data/data/####/aa36f7fea349d30bb0827d72c4d5186e6ac6ded5ca668ca...6451.0
- /data/data/####/abd7a0d9c7d6da2ee30de1e2fc1bf347cc8a555f1d0eb13....0.tmp
- /data/data/####/abd7a0d9c7d6da2ee30de1e2fc1bf347cc8a555f1d0eb13...8aab.0
- /data/data/####/ad8472c7189f394c_0
- /data/data/####/androidx.work.workdb-journal (deleted)
- /data/data/####/b254f6b6f58820178059915023d4e04860f1b4602c46ef4...ac2e.0
- /data/data/####/b317816376ab24e20f7dd235988c266a2bc46e31e96234a...8ce8.0
- /data/data/####/b58dbea9f4b02ebb053e1a4779415745a756a1c5e2a8e12....0.tmp
- /data/data/####/b5fc6c2fa7081a18a0e3fcbf263cd32d445eabc5f1b229e....0.tmp
- /data/data/####/b5fc6c2fa7081a18a0e3fcbf263cd32d445eabc5f1b229e...36d3.0
- /data/data/####/bb7ee483ab5d3d4ca3b7f9d7c793e7ab7379becc8af07d2...137a.0
- /data/data/####/bedf54b6ead1b7866125e85ec93803d90aed76e79a3b66d....0.tmp
- /data/data/####/bedf54b6ead1b7866125e85ec93803d90aed76e79a3b66d...e80b.0
- /data/data/####/c2ccf92754595d5937d941713faf6d6a0691a3ddf72144d....0.tmp
- /data/data/####/c2ccf92754595d5937d941713faf6d6a0691a3ddf72144d...85af.0
- /data/data/####/c93adaf3734a9de112c13b12a563f4b646947dffe7b1c87....0.tmp
- /data/data/####/c93adaf3734a9de112c13b12a563f4b646947dffe7b1c87...ca80.0
- /data/data/####/cba90a55c76902e85f7b5e5165a1f37ce2ea8d67ff84bbc...4b28.0
- /data/data/####/cdbd2180466b757f4b5f397f12605d1eba589e2e4cf67bb...1404.0
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.dex;classes3.dex
- /data/data/####/classes.dex;classes4.dex
- /data/data/####/classes.dex;classes5.dex
- /data/data/####/classes.oat
- /data/data/####/com.google.InstanceId.properties
- /data/data/####/com.google.android.datatransport.events-journal
- /data/data/####/com.google.android.gms.appid-no-backup
- /data/data/####/com.google.android.gms.appid.xml
- /data/data/####/com.google.android.gms.measurement.prefs.xml
- /data/data/####/com.google.android.gms.measurement.prefs.xml.bak
- /data/data/####/com.hdw.blackwallpapers_preferences.xml
- /data/data/####/com.tencent.a.SetupInfoActivity.xml
- /data/data/####/d5cec93923ff66c9e172b1d5cf21b6d3f9b8d90d538256d....0.tmp
- /data/data/####/d5cec93923ff66c9e172b1d5cf21b6d3f9b8d90d538256d...8cfa.0
- /data/data/####/d63dc9b44f255c600116884f0e0c2d3bc89bad79f12bb0f....0.tmp
- /data/data/####/d63dc9b44f255c600116884f0e0c2d3bc89bad79f12bb0f...8c8b.0
- /data/data/####/d64c3eeaf1c1afd6be300e88de0e23ab1a1d00565962ad3...3fd4.0
- /data/data/####/d9d333a8bd60daec3a4b7bc6c16b76ca54606c91d18fa75...5766.0
- /data/data/####/databaseFavourites-journal (deleted)
- /data/data/####/e8b7e3f809f1969dc1c7f1abc8176cee6a8dabb6302f8ef...7e08.0
- /data/data/####/eb4fb5a57eb488bc_0
- /data/data/####/f038e94cb33282ab_0 (deleted)
- /data/data/####/f616b075a9bd07fa9e8fd4407c8dbc6b30e3c9dc384a3e5...7daf.0
- /data/data/####/fee35df1a441481ab33d696084dee53ebc6545ec895de53....0.tmp
- /data/data/####/fee35df1a441481ab33d696084dee53ebc6545ec895de53...5f6f.0
- /data/data/####/generatefid.lock
- /data/data/####/google_app_measurement_local.db
- /data/data/####/google_app_measurement_local.db-journal
- /data/data/####/index
- /data/data/####/jgobfppppp (deleted)
- /data/data/####/journal
- /data/data/####/libjiagu.so
- /data/data/####/metrics_guid
- /data/data/####/proc_auxv
- /data/data/####/temp-index
- /data/data/####/the-real-index
- /data/misc/####/primary.prof
Другие:
Загружает динамические библиотеки:
- libarm
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-ECB-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
