Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.221.origin
Сетевая активность:
Подключается к:
- UDP(DNS) 8####.8.4.4:53
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) s.s####.cn:80
- TCP(HTTP/1.1) norma-e####.m####.com:80
- TCP(HTTP/1.1) res.starsc####.com:80
- TCP(HTTP/1.1) 06ef####.z.qing####.####.com:80
- TCP(TLS/1.0) def####.duals####.cn.####.com:443
- TCP(TLS/1.0) www.google####.com:443
- TCP(TLS/1.0) plb####.u####.com:443
- TCP(TLS/1.0) u####.u####.com:443
- TCP(TLS/1.0) api.w####.com:443
- TCP(TLS/1.0) 2####.239.38.223:443
- TCP(TLS/1.0) 64.2####.162.101:443
- TCP(TLS/1.0) 2####.107.1.97:443
- TCP(TLS/1.2) 2####.239.38.223:443
- TCP(TLS/1.2) 1####.250.181.227:443
- TCP(TLS/1.2) 64.2####.162.101:443
- TCP(TLS/1.2) 1####.177.14.103:443
- TCP(TLS/1.2) 64.2####.164.100:443
- TCP(TLS/1.2) www.google####.com:443
- TCP ms####.m.u####.com:443
- TCP supe####.c####.com.####.com:443
- TCP ms####.m.u####.com:80
Запросы DNS:
- ab####.z.qing####.fm
- amdc####.m.ta####.com
- analyt####.starsc####.com
- and####.b####.qq.com
- api.w####.com
- appl1-a####.starsc####.com
- co####.in####.cn
- gmscomp####.google####.com
- helpgam####.ksmo####.com
- log.u####.com
- norma-e####.m####.com
- p2p-####.starsc####.com
- plb####.u####.com
- res.starsc####.com
- s.s####.cn
- supe####.c####.com
- t####.ams.starsc####.com
- u####.u####.com
- umen####.m.ta####.com
- umengj####.m.ta####.com
- www.google####.com
Запросы HTTP GET:
- api.w####.com:443/oauth2/getaid.json?appkey=####&mfp=01M####&packagename...
- api.w####.com:443/oauth2/getaid.json?appkey=####&mfp=01N####&packagename...
- def####.duals####.cn.####.com:443/bar/get/5afd40fcf43e483fc9000026/?pcv=...
- norma-e####.m####.com/android/exchange/getpublickey.do
- res.starsc####.com/res/2019/02/12/10/2149/489cibn.png
- res.starsc####.com/res/2019/02/12/10/2238/727cctv.png
- res.starsc####.com/res/2019/02/12/10/2259/786weishi.png
- res.starsc####.com/res/2019/04/26/09/2541/tab栏直播@3x.png
- res.starsc####.com/res/2019/04/26/09/2557/tab栏首页@3x.png
- res.starsc####.com/res/2019/09/17/17/2737/70年国庆版焦点图成图.jpg?ft=####
- s.s####.cn/utils/idmap?appid=####
Запросы HTTP POST:
- 06ef####.z.qing####.####.com/channel/779
- and####.b####.qq.com/rqd/async?aid=####
- norma-e####.m####.com/push/android/external/add.do
- plb####.u####.com:443/umpx_internal
- plb####.u####.com:443/umpx_push_launch
- plb####.u####.com:443/umpx_share
- u####.u####.com:443/unify_logs
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/.jgck
- /data/data/####/1004
- /data/data/####/1B2455BEDB39C177275E917356E3E09D-1731344791314-0-RELEASE
- /data/data/####/21B6DFDA2BABA5557DEDFE7BBCDA741D-1731344791315-0-RELEASE
- /data/data/####/2bd9b28dac1a72a44a1ccf229d65e89886fd0f7aeedaef5...0109.0
- /data/data/####/4a4b2bfd6317f48c4d4a2ea5915ee5122e422f0ea4b5ca4....0.tmp
- /data/data/####/531669807de1ac98_0 (deleted)
- /data/data/####/604e9888e58ae0c84368d5314a80ea79fa1c8e4fe3d046d...8eb7.0
- /data/data/####/714067feb0381b512ef2ede1d44b05d07f0b43a27423ed0...8d83.0
- /data/data/####/74bb7d14a8b2458e84309100fe79cec2
- /data/data/####/7646DFE865F8416A91DB25777DFF2D1A-1731344791313-0-RELEASE
- /data/data/####/83_54dcfb6b-932c-4026-972b-3c1aa1c2acb8_1731344..._0.ich
- /data/data/####/86_329a8108-3934-4126-b7e6-52ae3f532aae_1731344..._0.ich
- /data/data/####/86_990d3d75-be73-404b-97e1-afffd09fa1ad_1731344..._0.ich
- /data/data/####/86_d0cc3c93-824d-4a48-8665-57374abadbdd_1731344..._0.ich
- /data/data/####/86_e7d3c987-67f4-430e-9f96-d2ceae702d9e_1731344..._0.ich
- /data/data/####/86_eadf8fd8-25dd-4bf6-8f0e-7b33f908ac6b_1731344..._0.ich
- /data/data/####/9cd569f7ae9ab15ec5400854814f828f46bbcdd9161e03a...2d37.0
- /data/data/####/ACCS_BINDumeng;5afd40fcf43e483fc9000026.xml
- /data/data/####/ACCS_SDK.xml
- /data/data/####/ACCS_SDK.xml.bak
- /data/data/####/ACCS_SDK_CHANNEL.xml
- /data/data/####/ACCS_SDK_CHANNEL.xml.bak
- /data/data/####/AGOO_BIND.xml
- /data/data/####/Agoo_AppStore.xml
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/Cookies-journal
- /data/data/####/F1340C7F989968D2773DAE64B5BB4210-1731344791316-0-RELEASE
- /data/data/####/MessageStore.db-journal
- /data/data/####/MsgLogStore.db-journal
- /data/data/####/SP_AROUTER_CACHE.xml
- /data/data/####/SP_AROUTER_CACHE.xml.bak
- /data/data/####/StrategyConfig
- /data/data/####/UM_PROBE_DATA.xml
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/_miad_sdk_module_versions.xml
- /data/data/####/accs.db-journal
- /data/data/####/agoo.pid
- /data/data/####/androidx.work.workdb-journal (deleted)
- /data/data/####/app_id.xml
- /data/data/####/app_version.xml
- /data/data/####/bizdata_db-journal
- /data/data/####/bugly_db_-journal
- /data/data/####/c870c8454382c4a41350f807e5400a976a1f39766436fa4...fff4.0
- /data/data/####/channel_umeng_common_config.xml
- /data/data/####/classes.dex
- /data/data/####/classes.dex;classes2.dex
- /data/data/####/classes.dex;classes3.dex
- /data/data/####/classes.dex;classes4.dex
- /data/data/####/classes.dex;classes5.dex
- /data/data/####/classes.dex;classes6.dex
- /data/data/####/classes.dex;classes7.dex
- /data/data/####/classes.oat
- /data/data/####/com.im.keyValueStore.aes_key_store.xml
- /data/data/####/com.im.keyValueStore.aes_key_store.xml.bak
- /data/data/####/com.im.keyValueStore.sdk_version_store.xml
- /data/data/####/com.im.keyValueStore.sdk_version_store.xml.bak
- /data/data/####/com.im_7.2.8.db
- /data/data/####/com.im_7.2.8.db-journal
- /data/data/####/com.x.y.1.xml
- /data/data/####/com.x.y.2.xml
- /data/data/####/crashrecord.xml
- /data/data/####/dW1weF9pbnRlcm5hbF8xNzMxMzQ0NzkyODI1;
- /data/data/####/dW1weF9wdXNoX2xhdW5jaF8xNzMxMzQ0ODE3NDk0;
- /data/data/####/dW1weF9zaGFyZV8xNzMxMzQ0Nzk1NzA1;
- /data/data/####/dW1weF9zaGFyZV8xNzMxMzQ0Nzk2MDM3;
- /data/data/####/deleteAdVideoWeekly.xml
- /data/data/####/device_id_persistence_file_real
- /data/data/####/device_info.xml
- /data/data/####/dlcact.xml
- /data/data/####/dopool.player_infoc_config_pref.xml
- /data/data/####/dopool.player_preferences.xml
- /data/data/####/dopool_analytics.db-journal
- /data/data/####/downloader.db-journal
- /data/data/####/dso_deps
- /data/data/####/dso_lock
- /data/data/####/dso_manifest
- /data/data/####/dso_state
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f63180e101a39a4bd38a2520c38913ac1d98ae403555f54...ddc2.0
- /data/data/####/gxdr4ex2xrT_v5j6zbd8I9OFhEI.1649562516.tmp
- /data/data/####/httpdns_config_cache.xml
- /data/data/####/httpdns_config_cache.xml.bak
- /data/data/####/i==1.2.0&&8.1.2_1731344792788_envelope.log
- /data/data/####/index
- /data/data/####/info.xml
- /data/data/####/journal
- /data/data/####/juWmEoD7yM8-qOjaMJrkiz3uPXg.1407139215.tmp
- /data/data/####/juWmEoD7yM8-qOjaMJrkiz3uPXg.cnt
- /data/data/####/key_display_height.xml
- /data/data/####/key_display_height.xml.bak
- /data/data/####/key_intall_time.xml
- /data/data/####/key_marketId.xml
- /data/data/####/lXUwC5IozCJj1d8Hu9JZR5Y1GZE.35004528.tmp
- /data/data/####/lXUwC5IozCJj1d8Hu9JZR5Y1GZE.cnt
- /data/data/####/ldmjmgwoXGj4rcAnYW8AoCSThaE.474293806.tmp
- /data/data/####/ldmjmgwoXGj4rcAnYW8AoCSThaE.cnt
- /data/data/####/libjiagu.so
- /data/data/####/local_crash_lock
- /data/data/####/message_accs_db
- /data/data/####/message_accs_db-journal
- /data/data/####/metrics_guid
- /data/data/####/mz_push_preference.xml
- /data/data/####/pref_app.xml
- /data/data/####/prepare_ad_time.xml
- /data/data/####/proc_auxv
- /data/data/####/report.db-journal
- /data/data/####/security_info
- /data/data/####/share.db-journal
- /data/data/####/share.xml
- /data/data/####/shared_preferences_data_statistics.xml
- /data/data/####/sp_app_install.xml
- /data/data/####/t==8.1.3&&8.1.2_1731344794704_envelope.log
- /data/data/####/the-real-index
- /data/data/####/ttopenadsdk.xml
- /data/data/####/ttopenadsdk.xml.bak
- /data/data/####/ttopensdk.db-journal
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/um_pri.xml
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_common_location.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_message_state.xml
- /data/data/####/umeng_socialize.xml
- /data/media/####/2024-11-11.log.txt
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/config.txt
- /data/media/####/deviceToken
- /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- /system/bin/sh -c getprop
- /system/bin/sh -c type su
- getprop
- getprop ro.build.version.emui
- getprop ro.letv.release.version
- getprop ro.vivo.os.build.display.id
- ls /
- ls /sys/class/thermal
Загружает динамические библиотеки:
- libencrypt
- libencryptAd
- libimagepipeline
- libjiagu
- libp2p
- libtnet-3.1.14
- libweibosdkcore
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
- AES-GCM-NoPadding
- RC4
- RSA-ECB-PKCS1Padding
- RSA-ECB-nopadding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Управляет Wi-Fi-подключением.
Запрашивает разрешение на отображение системных уведомлений.
