Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Xiny.20
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(GCM) <Google Host>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) s.wagbr####.alibaba####.com:80
- TCP(HTTP/1.1) l.wando####.com:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) a.sm####.cn:80
- TCP(HTTP/1.1) d.xiongj####.com.####.com:80
- TCP(HTTP/1.1) ads####.wando####.com:80
- TCP(HTTP/1.1) 2####.243.193.33:80
- TCP(HTTP/1.1) e.xiongj####.com.cn:80
Запросы DNS:
- a####.u####.com
- a.sm####.cn
- ads####.wando####.com
- au.u####.com
- d.xiongj####.com.cn
- e.xiongj####.com.cn
- l.wando####.com
- mt####.go####.com
- oc.u####.com
Запросы HTTP GET:
- d.xiongj####.com.####.com/jarFile/SDKAutoUpdate/lvs.jar
Запросы HTTP POST:
- ads####.wando####.com/network/v2/init
- l.wando####.com/muce/data/sink?profile=####&vc=####&vn=####&gzip=####&en...
- oc.u####.com/check_config_update
- s.wagbr####.alibaba####.com/api/check_app_update
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/cache/####/-1557675950-1796796546
- <Package Folder>/databases/downloadswc
- <Package Folder>/databases/downloadswc-journal
- <Package Folder>/databases/sqlite.db
- <Package Folder>/databases/sqlite.db-journal
- <Package Folder>/files/####/<Package>_adnetwork_.log
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/shared_prefs/<Package>_preferences.xml.bak
- <Package Folder>/shared_prefs/SHARE_PRE_CONFIG_TITLE.xml
- <Package Folder>/shared_prefs/SHARE_PRE_NEXT_TASK.xml
- <Package Folder>/shared_prefs/SHARE_PRE_WELCOME.xml
- <Package Folder>/shared_prefs/W_Key.xml
- <Package Folder>/shared_prefs/a.xml
- <Package Folder>/shared_prefs/a.xml.bak
- <Package Folder>/shared_prefs/log_module.xml
- <Package Folder>/shared_prefs/mobclick_agent_header_<Package>.xml
- <Package Folder>/shared_prefs/mobclick_agent_online_setting_<Pa...ml.bak
- <Package Folder>/shared_prefs/mobclick_agent_online_setting_<Package>.xml
- <Package Folder>/shared_prefs/mobclick_agent_state_<Package>.xml
- <Package Folder>/shared_prefs/st.xml
- <Package Folder>/shared_prefs/wdj_ads_config.xml
- <SD-Card>/Download/####/4.6_lvs.jar.tmp
- <SD-Card>/dt/restime.dat
- <SD-Card>/wandoujia/####/.udid
Другие:
Запускает следующие shell-скрипты:
- chmod 777 /data/local/tmp
Загружает динамические библиотеки:
- adcrypt
- cipher
- gao
- wdj_udid
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об активных администраторах устройства.
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
