Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.20
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) t####.a####.top:80
- TCP(HTTP/1.1) g3.l####.cn:80
- TCP(HTTP/1.1) e.ghe####.net:9908
- TCP(HTTP/1.1) b####.www.ye####.org:80
- TCP(HTTP/1.1) api.plat####.l####.com:80
- TCP(HTTP/1.1) www.ye####.org:80
- TCP(HTTP/1.1) cd.kw####.com:80
- TCP(HTTP/1.1) s.we####.l####.com:80
- TCP(HTTP/1.1) 1####.205.143.143:80
- TCP(TLS/1.0) aliyuns####.oss-cn-####.aliy####.com:443
- TCP(TLS/1.0) aliyuno####.oss-cn-####.aliy####.com:443
- TCP(TLS/1.0) api.xiongh####.cc:443
- TCP(TLS/1.0) hotfix####.oss-cn-####.aliy####.com:443
- TCP(TLS/1.0) for####.sf.c####.com:443
Запросы DNS:
- aliyuno####.oss-cn-####.aliy####.com
- aliyuns####.oss-cn-####.aliy####.com
- antil####.cde.l####.com
- api.plat####.l####.com
- api.xiongh####.cc
- b####.www.ye####.org
- cd.kw####.com
- do.kw####.com
- e.ghe####.net
- g3.l####.cn
- hotfix####.oss-cn-####.aliy####.com
- log.cde.l####.com
- po####.cde.le.com
- s.we####.l####.com
- t####.a####.top
- www.ye####.org
Запросы HTTP GET:
- api.plat####.l####.com/upgrade?appkey=####&appid=####&devmodel=####&devm...
- cd.kw####.com/201812/ww9.jar
- g3.l####.cn/r?format=####&from=####
- t####.a####.top/channl_adong.png
- t####.a####.top/channl_adong2.png
Запросы HTTP POST:
- b####.www.ye####.org/i?requestId=####&g=####&ua=####
- cd.kw####.com/c
- e.ghe####.net:9908/e/a/t
- s.we####.l####.com/act/pf
- www.ye####.org/i?requestId=####&g=####&ua=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/6oxIhXyGGV.jar
- /data/data/####/Letv_Ads.apk
- /data/data/####/NujrFpV.jar
- /data/data/####/W_Key.xml
- /data/data/####/ad_config.xml
- /data/data/####/arkapsconf.json
- /data/data/####/cmf-native.apk
- /data/data/####/cmf_plugin.xml
- /data/data/####/com.ertong.baby_preferences.xml
- /data/data/####/downloadswc
- /data/data/####/downloadswc-journal
- /data/data/####/letv_jars.xml
- /data/data/####/libcde.so
- /data/data/####/liblecplayer.so
- /data/data/####/sdkconfig.xml
- /data/data/####/st.xml
- /data/data/####/webview.db-journal
- /data/media/####/.nomedia
- /data/media/####/5.0ww9.jar.u
- /data/media/####/cmf.log
- /data/media/####/journal
- /data/media/####/journal.tmp
- /data/media/####/restime.dat
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
Загружает динамические библиотеки:
- LetvAdSDK
- libLetvAdSDK
- libcde
- liblecplayer
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
- DES
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
