Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.CoinSteal.SparkCat.4.origin
Детект на основе машинного обучения.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- UDP(DNS) 2####.6.6.6:53
- TCP(HTTP/1.1) wang####.com.6dff####.####.com:80
- TCP(TLS/1.0) 2####.239.38.223:443
- TCP(TLS/1.0) 2####.239.32.223:443
- TCP(TLS/1.0) gi####.com:443
- TCP(TLS/1.0) rr6---s####.g####.com:443
- TCP(TLS/1.0) api.ali####.org:443
- TCP(TLS/1.0) f####.gst####.com:443
- TCP(TLS/1.0) 2####.239.36.223:443
- TCP(TLS/1.0) gmscomp####.google####.com:443
- TCP(TLS/1.2) 1####.250.150.100:443
- TCP(TLS/1.2) 1####.250.74.68:443
- TCP(TLS/1.2) 1####.250.74.106:443
- TCP(TLS/1.2) 1####.250.150.101:443
- TCP(TLS/1.2) 1####.250.74.74:443
- UDP 18.1####.75.108:8801
- UDP f7cc983####.ali####.com:8003
- UDP 2####.239.36.223:443
Запросы DNS:
- and####.google####.com
- api.ali####.org
- f####.gst####.com
- f7cc983####.ali####.com
- gi####.com
- gmscomp####.google####.com
- rr6---s####.g####.com
- wang####.com
Запросы HTTP GET:
- gi####.com:443/group6815923/ai/-/raw/main/rel.json
- wang####.com.6dff####.####.com/images/256/20240828/16/35/e0bcfd15aef9191...
- wang####.com.6dff####.####.com/images/256/img2/2e94a2fc0a44f66c7e3d4beec...
- wang####.com.6dff####.####.com/images/256/img2/2f603c7d462340862da4e40ef...
- wang####.com.6dff####.####.com/images/256/img2/312810eff246fffd311c14e3a...
- wang####.com.6dff####.####.com/images/256/img2/80572de9e24ec32e8417cb7f3...
- wang####.com.6dff####.####.com/images/256/img2/85de2d8cab1eab4e300cd88fe...
- wang####.com.6dff####.####.com/images/256/img2/9fd517986b3ff597703d6bce8...
- wang####.com.6dff####.####.com/images/256/img2/b0934c43126cb836ea82ebe78...
- wang####.com.6dff####.####.com/images/256/img2/c2999217f16c5a886e6f4df3d...
- wang####.com.6dff####.####.com/images/256/img2/d0f1a8a9beb1aaec00c5ecce8...
- wang####.com.6dff####.####.com/images/256/u/1012/5463/11/head/530c978a1f...
- wang####.com.6dff####.####.com/images/256/u/1320/0808/87/head/08bab389c5...
- wang####.com.6dff####.####.com/images/256/u/1434/6289/63/head/e27247bee4...
- wang####.com.6dff####.####.com/images/256/u/1662/4302/2/head/0b51317a054...
- wang####.com.6dff####.####.com/images/256/u/1960/1615/5/head/c2dfedf5439...
- wang####.com.6dff####.####.com/images/256/u/4925/0696/3/head/52d8bf3085c...
Запросы HTTP POST:
- api.ali####.org:443/api/e/config/oc
- api.ali####.org:443/api/e/d/u
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.hptc.cache_wq5ztgxz.gmxnda
- /data/data/####/.hptc_kache_wq5ztgxz.gmxnda
- /data/data/####/068aea865e46fe854922fcfa716436988cb2edd0
- /data/data/####/154c1c05f56864bbc31f5b38a1f78ab8.jpg
- /data/data/####/154c1c05f56864bbc31f5b38a1f78ab8.jpg_tmp
- /data/data/####/1cfb37dea9721d25143e00ff585af6169a91fd58
- /data/data/####/1dcfebb20c5eed233f0f651d569a3a02654b5b03
- /data/data/####/2cc112081930bed3b5956a0eee8f4fba.png
- /data/data/####/2cc112081930bed3b5956a0eee8f4fba.png_tmp
- /data/data/####/335d278417743125ac05dc26032e6cf4a19c0ace
- /data/data/####/3420a4439ed708210c64ae05525a4e275ef3773a
- /data/data/####/4202ef25734612c452179b39d640987e.jpg
- /data/data/####/4202ef25734612c452179b39d640987e.jpg_tmp
- /data/data/####/50e334f128a292eb228ceb1de21c2b1c.png
- /data/data/####/50e334f128a292eb228ceb1de21c2b1c.png_tmp
- /data/data/####/518afbb487509437449a35ffa0f9a2d02ed15392
- /data/data/####/5b93104f939200debee5648ea77f50c8.jpg
- /data/data/####/5b93104f939200debee5648ea77f50c8.jpg_tmp
- /data/data/####/5f5dd003eaa24005e7ab14db902f3efb7ca955ae
- /data/data/####/5ffc79cf5681441fe86a3f18e8990894967d717c
- /data/data/####/696517f0c5a85e35778c50297705fbe048011869
- /data/data/####/6b6195ba1a69b3d10673e750c52f17f20834284e
- /data/data/####/6e2a0233c5f42c4fd047087a83944944ba8ff3df
- /data/data/####/70d338766ae20514eca6f5d387445bc8d553f73f
- /data/data/####/7edf2df5279eed5a751e04f457e1f1ce.png
- /data/data/####/7edf2df5279eed5a751e04f457e1f1ce.png_tmp
- /data/data/####/86a07ae69f54740c8c8a778142503e72.jpg
- /data/data/####/86a07ae69f54740c8c8a778142503e72.jpg_tmp
- /data/data/####/873f7bbd0c2b49b6ca0f44f47d457eb9.png
- /data/data/####/873f7bbd0c2b49b6ca0f44f47d457eb9.png_tmp
- /data/data/####/8a1fc5b43a72d4e57fc975c2e4c79116.png
- /data/data/####/8a1fc5b43a72d4e57fc975c2e4c79116.png_tmp
- /data/data/####/9f086798d115ebcf6f872a35812044da.jpg
- /data/data/####/9f086798d115ebcf6f872a35812044da.jpg_tmp
- /data/data/####/FM_config.xml
- /data/data/####/FM_config.xml.bak
- /data/data/####/FlutterSharedPreferences.xml
- /data/data/####/a019587d312e951051eaf8862c35b5ac.png
- /data/data/####/a019587d312e951051eaf8862c35b5ac.png_tmp
- /data/data/####/a3449239c443ed74827f8453bfdfc3c6.jpg
- /data/data/####/a3449239c443ed74827f8453bfdfc3c6.jpg_tmp
- /data/data/####/app_uy4nKfBG1
- /data/data/####/b0b40e701f6de6035572bdb70d6462ed9bbc7f13
- /data/data/####/ba12d8392ec84c3fce27e62776c15e00.png
- /data/data/####/ba12d8392ec84c3fce27e62776c15e00.png_tmp
- /data/data/####/c0394bfd637128b2d7bfa95ffa53429c.png
- /data/data/####/c0394bfd637128b2d7bfa95ffa53429c.png_tmp
- /data/data/####/classes.dex
- /data/data/####/classes.dex.flock (deleted)
- /data/data/####/classes2.dex
- /data/data/####/classes2.dex.flock (deleted)
- /data/data/####/classes3.dex
- /data/data/####/classes3.dex.flock (deleted)
- /data/data/####/d2a32c8fb1b1d63fffdc6ba0c635f4ed6faa9c7f
- /data/data/####/d7c40486b792b8ccc7c9bd508055b6a5bbddea0b
- /data/data/####/dbf0b59707243688b50dd4379eb13b4e17ec7cec
- /data/data/####/de87de41931cbacbc0996d92737c6d9b.jpg
- /data/data/####/de87de41931cbacbc0996d92737c6d9b.jpg_tmp
- /data/data/####/dev_id.xml.xml
- /data/data/####/f17ec4e6286c3fb2ab7c368367a730d9712a1a4d
- /data/data/####/f573b50a6cb59216ffcf6e71b0dba2d4.png
- /data/data/####/f573b50a6cb59216ffcf6e71b0dba2d4.png_tmp
- /data/data/####/f59686a0f242f2bf17c8b883fb87d1103a58fa06
- /data/data/####/kwb
- /data/data/####/kwcloud_v4_fae60e487fec5ee35f42e07d9ad7cee5
- /data/data/####/libagora-ffmpeg.so
- /data/data/####/libagora-rtc-sdk.so
- /data/data/####/libagora-soundtouch.so
- /data/data/####/libapp.so
- /data/data/####/libdownloadproxy.so
- /data/data/####/libflutter.so
- /data/data/####/libgifimage.so
- /data/data/####/libimage_processing_util_jni.so
- /data/data/####/libimagepipeline.so
- /data/data/####/libkiwi.so
- /data/data/####/libliteavsdk.so
- /data/data/####/libmlkit_google_ocr_pipeline.so
- /data/data/####/libmodsvmp.so
- /data/data/####/libnetmobsec-4.4.7.so
- /data/data/####/libsentry-android.so
- /data/data/####/libsentry.so
- /data/data/####/libtpcore-master.so
- /data/data/####/libtpthirdparties-master.so
- /data/data/####/libtxffmpeg.so
- /data/data/####/libtxsoundtouch.so
- /data/data/####/libwebp.so
- /data/data/####/libwebpimage.so
- /data/data/####/liteImageCache.txt
- /data/data/####/proc_auxv
- /data/data/####/rapp
- /data/data/####/rapp.dex
- /data/data/####/rapp.dex.flock (deleted)
- /data/data/####/secure.xml
- /data/media/####/.dev_id.txt
- /data/media/####/n9927f
Другие:
Загружает динамические библиотеки:
- libMDYCUnousTciq31
- libflutter
- libkiwi
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.
