Android.Spy.3094

Техническая информация

Вредоносные функции:

Выполняет код следующих детектируемых угроз:

Android.Spy.2442

Сетевая активность:

Подключается к:

UDP(DNS) 8####.8.4.4:53
TCP(HTTP/1.1) 47.2####.48.227:80
TCP(HTTP/1.1) 1####.205.152.2:80
TCP(HTTP/1.1) i####.holo####.com.cn:80
TCP(HTTP/1.1) 1####.11.61.135:80
TCP(HTTP/1.1) amdc####.m.ta####.com:80
TCP(HTTP/1.1) 2####.119.214.17:80
TCP(HTTP/1.1) res.holo####.com.cn:80
TCP(HTTP/1.1) thi####.q####.cn:80
TCP(HTTP/1.1) 2####.205.239.188:80
TCP(HTTP/1.1) 27.2####.56.135:80
UDP(NTP) 2.and####.p####.####.org:123
TCP(TLS/1.0) thi####.q####.cn:443
TCP(TLS/1.0) 47.94.1####.219:443
TCP(TLS/1.0) and####.google####.com:443
TCP(TLS/1.0) 3####.97.6.161:443
TCP(TLS/1.0) 27.2####.56.135:443
TCP(TLS/1.0) api.holo####.com.cn:443
TCP(TLS/1.0) res.u####.com:443
TCP(TLS/1.0) l####.cc:443
TCP(TLS/1.0) res.holo####.com.cn:443
TCP(TLS/1.0) 2####.119.214.124:443
TCP(TLS/1.0) 47.2####.48.227:443
TCP(TLS/1.0) i####.holo####.com.cn:443
TCP(TLS/1.0) 1####.217.17.78:443
TCP(TLS/1.0) p####.google####.com:443
TCP(TLS/1.0) dualsta####.wagbr####.ali####.####.com:443
TCP(TLS/1.0) 2####.119.214.125:443
TCP(TLS/1.2) 2####.107.1.97:443
TCP(TLS/1.2) 27.2####.56.135:443
TCP(TLS/1.2) p####.google####.com:443
TCP(TLS/1.2) and####.google####.com:443
TCP(TLS/1.2) 2####.119.214.125:443
TCP(TLS/1.2) i####.holo####.com.cn:443
TCP(TLS/1.2) 1####.217.168.202:443
TCP(TLS/1.2) 47.2####.48.227:443
TCP 2####.119.217.112:443
TCP zb-cent####.m.ta####.com:80
TCP zb-cent####.m.ta####.com:443
TCP 2####.205.151.207:14000

Запросы DNS:

2.and####.p####.####.org
amdc####.m.ta####.com
and####.google####.com
api.holo####.com.cn
i####.holo####.com.cn
instant####.google####.com
l####.cc
p####.google####.com
plb####.u####.com
res.holo####.com.cn
res.u####.com
thi####.q####.cn
u####.u####.com
umen####.m.ta####.com
umengj####.m.ta####.com

Запросы HTTP GET:

27.2####.56.135/game/gaobaijiezhi.svga
27.2####.56.135/so_res/gaobaiqiqiu.svga
47.2####.48.227/game/lxhy.svga
47.2####.48.227/goods_res/dashu.svga
47.2####.48.227/goods_res/meng.svga
47.2####.48.227/so_res/zyyjn.svga
thi####.q####.cn/mmopen/vi_32/hs9hrPl98IGGr3xdtGoCoFO9nD80tMXLEOEicic4ic...

Запросы HTTP POST:

2####.119.214.17/amdc/mobileDispatch?appkey=####&deviceId=####&platform=...
amdc####.m.ta####.com/amdc/mobileDispatch?appkey=####&deviceId=####&plat...

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/.imprint
/data/data/####/.jg.ic
/data/data/####/.jgck
/data/data/####/02e5b0379e83d7e39b421c069cf0b0e722627ebfae73508....0.tmp
/data/data/####/05575a89e27b473cbfcd598021db52cd
/data/data/####/0971213c000a87c8c39ca2af8d8f803857ad0f2ac34e002....0.tmp
/data/data/####/09e02891d36254afe8e529cea4422d31c516c2b1d103029....0.tmp
/data/data/####/0be7ed32142a0fa664b8f0a5cdc2a491645aa48ecace3fc....0.tmp
/data/data/####/0e509e653eff6599c519eae36fa046b7603943ea886c346....0.tmp
/data/data/####/1004
/data/data/####/17e6140e6cdbc772f89489daaec16bdd44378ec09a6dd6d....0.tmp
/data/data/####/1941e59ec0b43783d9c43fa5201c8040782ecd4adc14ddf....0.tmp
/data/data/####/1ec9abe501ae4a71518b3324d65d98994c44d37599cb7ec....0.tmp
/data/data/####/1f9c6159d8b19d45474764b3263244f7680e0570b954f00....0.tmp
/data/data/####/203a8f0ea265d4c06195dec8cd54329842776ee64d12eec....0.tmp
/data/data/####/20881a3e35941226b35561caf00c71c22f6b9b58b4b6ca8....0.tmp
/data/data/####/302ad839fba65355350c71a19f38cf3b083b78dc54093a7...25bd.0
/data/data/####/30aa2f247f8ded8953b1606acddf5763ae968272e159d42....0.tmp
/data/data/####/321e01c843bdf02f424f93f85749d444104dddf86c1683e....0.tmp
/data/data/####/322c0388f007e2c58d0783691555cb7f.0.tmp
/data/data/####/322c0388f007e2c58d0783691555cb7f.1
/data/data/####/32e77346aeb99dae55755487d80e0d85d9b318496f720c2....0.tmp
/data/data/####/33f09a40e17d410573dcb7568874779b23ba1a26b4aca6d....0.tmp
/data/data/####/33f09a40e17d410573dcb7568874779b23ba1a26b4aca6d...a621.0
/data/data/####/3529ec3e196cf9a07ce41a0ef37e0fb727be1c5f90d6619....0.tmp
/data/data/####/3ad11ab906bf4e048164c6f600c6966c.0
/data/data/####/3ad11ab906bf4e048164c6f600c6966c.1
/data/data/####/3b78c0b9dfce1fdd39a5b1a2395d9a936105d9a7268a6f9....0.tmp
/data/data/####/3ca03c1a3caf3bf501c767a3218e226cbbd46bef0bc0188....0.tmp
/data/data/####/41004207abe1a542fe1a8efc78a571c3e72f45ac51fe266....0.tmp
/data/data/####/4cbca156ed10986c540b60f0912f8da591c32bb240c128e...8c54.0
/data/data/####/5012
/data/data/####/5012.temp
/data/data/####/5013
/data/data/####/5013.temp
/data/data/####/5014
/data/data/####/5014.temp
/data/data/####/5017
/data/data/####/5017.temp
/data/data/####/5018
/data/data/####/5018.temp
/data/data/####/5019
/data/data/####/5019.temp
/data/data/####/5020
/data/data/####/5020.temp
/data/data/####/5021
/data/data/####/5021.temp
/data/data/####/5022
/data/data/####/5022.temp
/data/data/####/5023
/data/data/####/5023.temp
/data/data/####/5024
/data/data/####/5024.temp (deleted)
/data/data/####/5025
/data/data/####/5025.temp
/data/data/####/5026
/data/data/####/5026.temp
/data/data/####/5027
/data/data/####/5027.temp
/data/data/####/5028
/data/data/####/5028.temp
/data/data/####/5029
/data/data/####/5029.temp
/data/data/####/5030
/data/data/####/5030.temp (deleted)
/data/data/####/5031
/data/data/####/5031.temp
/data/data/####/5032
/data/data/####/5032.temp
/data/data/####/5033
/data/data/####/5033.temp
/data/data/####/5034
/data/data/####/5034.temp
/data/data/####/5036
/data/data/####/5036.temp
/data/data/####/5037
/data/data/####/5037.temp
/data/data/####/5038
/data/data/####/5038.temp
/data/data/####/5039
/data/data/####/5039.temp
/data/data/####/5040
/data/data/####/5040.temp
/data/data/####/5041
/data/data/####/5041.temp
/data/data/####/5042
/data/data/####/5042.temp
/data/data/####/5043
/data/data/####/5043.temp
/data/data/####/5045
/data/data/####/5045.temp
/data/data/####/5046
/data/data/####/5046.temp
/data/data/####/5047
/data/data/####/5047.temp
/data/data/####/55a6db9d9b4b6e24f309f94c60a062957470664b4a82ce0....0.tmp
/data/data/####/6001.temp (deleted)
/data/data/####/6010.temp (deleted)
/data/data/####/6013
/data/data/####/6013.temp
/data/data/####/60549af46b5071604e1156e20749f61ca7dba72b1246030....0.tmp
/data/data/####/6073607ca589d495dfa034edc3d19131e6f85014eaa01a2....0.tmp
/data/data/####/614fcc2265db8e7c0d8fa8f6565d6e4f6f29c0e2f9069ea....0.tmp
/data/data/####/669c543f5936fa40b152473ea49cebcc643568d1728424c....0.tmp
/data/data/####/6878e7bb0b68f3b42af3fb1b84fb9b0b8ae1857c063c229....0.tmp
/data/data/####/6c4f11d78240fd33ec5bb6d9f6daddecc230684cf0f64e7....0.tmp
/data/data/####/6ecb91c608e16571ac48dccd795d299a8faf18e9ece4ef3...45b6.0
/data/data/####/75895f59eec646bdf491802a34b12ef5aee5d3387b45262....0.tmp
/data/data/####/770a673fd6f1535b110793620d85e4acdbd73a6fb8343e8....0.tmp
/data/data/####/7993d5eb2648cf88804198d596ee822e6a6b853e124cb3e....0.tmp
/data/data/####/7cbe94cea8d292436febb6a8436fe9e120b6f2965fe243d....0.tmp
/data/data/####/7f8597022ad557b96848010e2fe1c7baa58f611217b2f6f....0.tmp
/data/data/####/80c0987ae2f0ee8e2df764abcbc33a5e.0.tmp
/data/data/####/80c0987ae2f0ee8e2df764abcbc33a5e.1
/data/data/####/87e353659f1fa6606d2d40b172ae79e919b59511adbce81....0.tmp
/data/data/####/8d2a2388706077fe80e114a5315d570295646ed8e8bc2ec....0.tmp
/data/data/####/903a272818d85d65a9df453c85c8fad0d8cc307c388595b....0.tmp
/data/data/####/90b01c6d4ce3547558a66d360e45f686a88372e6f480827....0.tmp
/data/data/####/90b8d4eb93da4dcc7b7c70fcef2536f3856a4334c060692....0.tmp
/data/data/####/93bbada5aa8f960ef13363cc561cd6d58a8d4dc15976e3f....0.tmp
/data/data/####/97562db1c4672c7950c16fc29e0a1d1ed50243f09822355....0.tmp
/data/data/####/9d745df3f580f4c882b157382853cb0d.0.tmp
/data/data/####/9d745df3f580f4c882b157382853cb0d.1
/data/data/####/9dc7f8ce3072c85181d43d14a6bc0c7f462231f74e5e22e....0.tmp
/data/data/####/9ee8908b20179232b2a058d64a9e005f40306daa0a5ce9a....0.tmp
/data/data/####/ACCS_BINDumeng;5c3d7699f1f5565abe000877.xml
/data/data/####/ACCS_SDK.xml
/data/data/####/ACCS_SDK_CHANNEL.xml
/data/data/####/AGOO_BIND.xml
/data/data/####/Agoo_AppStore.xml
/data/data/####/DATA_CACHE_FILE_NAME.xml
/data/data/####/DATA_CACHE_FILE_NAME.xml.bak
/data/data/####/LKME_Server_Request_Queue.xml
/data/data/####/Log08-10-01-44.txt
/data/data/####/MSF.C.NetConnInfoCenter.xml
/data/data/####/MessageStore.db-journal
/data/data/####/MsgLogStore.db-journal
/data/data/####/QALConfigStore.dat
/data/data/####/QALSERVICE_umeng_common_config.xml
/data/data/####/TLS_DEVICE_INFO.xml
/data/data/####/TLS_DEVICE_INFO.xml.bak
/data/data/####/WLOGIN_DEVICE_INFO.xml
/data/data/####/a12cb0b1e58c8be96239a0142054362f254c0baa33d84bb....0.tmp
/data/data/####/a40ca542ae12b77698ddc4e16730c96ffb973db2e154745....0.tmp
/data/data/####/a5c90563ca3fa5fce01410820caf8547f672009c60fe385....0.tmp
/data/data/####/a947a275beddb55337c4d47767cb4104ef59eeb33a54b0c....0.tmp
/data/data/####/aaaf590025294ce7ac681bbdcfb03edb
/data/data/####/ab5127670fd947e820686f6a37336ff9.0
/data/data/####/ab5127670fd947e820686f6a37336ff9.0.tmp
/data/data/####/ab5127670fd947e820686f6a37336ff9.1
/data/data/####/ac833b40ee270e1cfc6f2b5318608df1417df0c253eaa36....0.tmp
/data/data/####/accs.db-journal
/data/data/####/agoo.pid
/data/data/####/b359036b5a14efbd1b10217ca4a361f23c57d4a8fefa75b....0.tmp
/data/data/####/b52b0e5eb2251a22bbbe2926855473f50ee61124b51bef7....0.tmp
/data/data/####/bd8b8f1d33607853023daf5c9f0b05baea1851a6c2a57e5....0.tmp
/data/data/####/bf7b14342a843f147e8a570c323476fb35c44e97dab80a8....0.tmp
/data/data/####/bugly_db_-journal
/data/data/####/c15b87a59da5d0f907e59da9d1e9c6b85a001cf82a63ec2....0.tmp
/data/data/####/c16c06498f199fadca6b54f1b88f7231e81948fba939a54....0.tmp
/data/data/####/c5f766469c3d2a2352faa94df8c12ae9aea9ff9fa38fdb3....0.tmp
/data/data/####/ca60e290b2cd4bbcf503a68028ce7d07f00cfd9a671012b....0.tmp
/data/data/####/cbb741c60e8951b29503a53fa6d3ba9c85fbbb972d2a237....0.tmp
/data/data/####/channel_umeng_common_config.xml
/data/data/####/classes.oat
/data/data/####/com.yx.ppchat_preferences.xml
/data/data/####/com.yx.ppchat_preferences.xml.bak
/data/data/####/crashrecord.xml
/data/data/####/dW1weF9pbnRlcm5hbF8xNTY1NDAxNDUwMTk0;
/data/data/####/dW1weF9pbnRlcm5hbF8xNTY1NDAxNDY1NzUz;
/data/data/####/dW1weF9wdXNoX2xhdW5jaF8xNTY1NDAxNDc1NjA2;
/data/data/####/dW1weF9wdXNoX3JlZ2lzdGVyXzE1NjU0MDE0NjU5MDY=;
/data/data/####/db11f07bb6c007b7c8ee38d018b23b9da0eb9042001af13....0.tmp
/data/data/####/dda143f442cd317592e79622a643627bcbf9f1b0a24a846....0.tmp
/data/data/####/ddc53ca79aa31b16e829637a8816b8e45a07b4a2c18142c...077d.0
/data/data/####/e3e0e9aa6ce0f8eb56828b5d60413adffb31df8c7fb757b....0.tmp
/data/data/####/e420b620070c5dfcc112a70d85889b68d34b336d45534ec....0.tmp
/data/data/####/e51383f19d7a46ce3bd618ba4b70b0e6ae8ecac2015cc79....0.tmp
/data/data/####/eff857aa16ebb76312ba6c189a75b1257ef4475a77c0a5a....0.tmp
/data/data/####/exchangeIdentity.json
/data/data/####/exid.dat
/data/data/####/f0c2630845cc5037476e776ae67347d52599533945b5f7f....0.tmp
/data/data/####/f1f1846516073a8c7a11d0f8fb1d13b9782546aa509d5c3....0.tmp
/data/data/####/f3a8550fa27aad24a4857315dd336aadcfb35da08dbcdf4....0.tmp
/data/data/####/f8d4e92a6bdfcdd513d6ebaa475b7b27fea32d60495193e....0.tmp
/data/data/####/fe8d26578c2003c66afcc1ef4ae9886d134e6813b776298....0.tmp
/data/data/####/httpdns_config_cache.xml
/data/data/####/i==1.2.0&&1.7.8_1565401450231_envelope.log
/data/data/####/i==1.2.0&&1.7.8_1565401465876_envelope.log
/data/data/####/info.xml
/data/data/####/journal.tmp
/data/data/####/linkedme_referral_shared_pref.xml
/data/data/####/linkedme_referral_shared_pref.xml.bak
/data/data/####/live.xml
/data/data/####/local_crash_lock
/data/data/####/local_crash_lock (deleted)
/data/data/####/message_accs_db
/data/data/####/message_accs_db-journal
/data/data/####/native_record_lock
/data/data/####/native_record_lock (deleted)
/data/data/####/pao_pao_0.db-journal
/data/data/####/proc_auxv
/data/data/####/push_umeng_common_config.xml
/data/data/####/qalimid_v2
/data/data/####/report_v5.msgstore-journal (deleted)
/data/data/####/rtc.mmap2
/data/data/####/rtc_20190810.xlog
/data/data/####/t==8.0.0&&1.7.8_1565401451352_envelope.log
/data/data/####/tls_device.dat
/data/data/####/ua.db
/data/data/####/ua.db-journal
/data/data/####/um_pri.xml
/data/data/####/umdat.xml
/data/data/####/umeng_common_config.xml
/data/data/####/umeng_common_location.xml
/data/data/####/umeng_general_config.xml
/data/data/####/umeng_general_config.xml.bak (deleted)
/data/data/####/umeng_it.cache
/data/data/####/uxsdk_2019-08-10_1.log
/data/data/####/wlogin_device.dat
/data/misc/####/primary.prof

Другие:

Запускает следующие shell-скрипты:

/system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
/system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
/system/bin/dex2oat --instruction-set=x86 --dex-file=<Package Folder>/.jiagu/classes.dex --dex-file=<Package Folder>/.jiagu/classes.dex:classes2.dex --dex-file=<Package Folder>/.jiagu/classes.dex:classes3.dex --oat-file=<Package Folder>/.jiagu/classes.oat --inline-depth-limit=0 --compiler-filter=speed

Использует следующие алгоритмы для шифрования данных:

AES-CBC-PKCS5Padding
AES-CBC-PKCS7Padding
AES-GCM-NoPadding
DES-CBC-PKCS5Padding
RSA-ECB-PKCS1Padding

Использует следующие алгоритмы для расшифровки данных:

AES-CBC-PKCS7Padding
AES-GCM-NoPadding

Осуществляет доступ к приватному интерфейсу ITelephony.

Использует специальную библиотеку для скрытия исполняемого байт-кода.

Получает информацию о сети.

Получает информацию о телефоне (номер, IMEI и т. д.).

Получает информацию о запущенных приложениях.

Получает информацию о привязанных к устройству аккаунтах (Google, Facebook и т. д.).

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней