Техническая информация
Вредоносные функции:
Загружает из Интернета следующие детектируемые угрозы:
- Android.SmsSpy.10334
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) app.loveits####.com:80
- TCP(HTTP/1.1) apk.downloa####.com:80
- TCP(HTTP/1.1) c.parking####.net:80
- TCP(HTTP/1.1) secu####.downloa####.com:80
- TCP(HTTP/1.1) www.you####.com:80
- TCP(HTTP/1.1) d1lxhc4####.cloudf####.net:80
- TCP(HTTP/1.1) and####.downloa####.com:80
- TCP(HTTP/1.1) gost####.is:80
- TCP(TLS/1.0) col####.aio-dow####.com:443
- TCP(TLS/1.0) and####.downloa####.com:443
- TCP(TLS/1.0) lh3.googleu####.com:443
- TCP(TLS/1.0) i.y####.com:443
- TCP(TLS/1.0) m####.downloa####.com:443
- TCP(TLS/1.0) www.you####.com:443
- TCP(TLS/1.0) gost####.is:443
- TCP(TLS/1.0) pag####.googles####.com:443
Запросы DNS:
- a####.u####.com
- and####.downloa####.com
- apk.downloa####.com
- app.aio-dow####.com
- app.loveits####.com
- c.parking####.net
- col####.aio-dow####.com
- d1lxhc4####.cloudf####.net
- gost####.is
- i.downloa####.com
- i.y####.com
- lh3.googleu####.com
- m####.downloa####.com
- mt####.go####.com
- pag####.googles####.com
- secu####.downloa####.com
- www.you####.com
Запросы HTTP GET:
- and####.downloa####.com/_201409/market/app_detail_more.php?url_id=####
- and####.downloa####.com/_201409/market/app_list_more.php?keyword=####&Po...
- and####.downloa####.com/api/list.php?tab=####&keyword=####&page=####
- apk.downloa####.com/package/com.allinone.free.apk
- app.loveits####.com/_manage/proc/get_android_info.php?id=####
- app.loveits####.com/gonglue_xilie/ping.php?id=####&version=####
- c.parking####.net/scripts/sale_form.js
- d1lxhc4####.cloudf####.net/themes/assets/skenzo.css
- d1lxhc4####.cloudf####.net/themes/assets/style.css
- d1lxhc4####.cloudf####.net/themes/saledefault.css
- gost####.is/film/elle-19692/watching.html
- www.you####.com/get_video_info?video_id=####&asv=####&el=####&hl=####&st...
Запросы HTTP POST:
- a####.u####.com/app_logs
- and####.downloa####.com/_201409/market/app_version_check.php
- and####.downloa####.com/api/get_apk_download_5_0_0.php
- secu####.downloa####.com/aio_check_apkinfo/security_center/security_init...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/0e68224c4aae9ab520ade0829d8baa4c8ba4cb0b0ea34d7....0.tmp
- /data/data/####/194a2bdf705e9b5078d26752f39eeaabefd1b2fce7a1a55....0.tmp
- /data/data/####/2596cf9331cbe86c7ccb0f158bfe8b7533ba1e666f4a797....0.tmp
- /data/data/####/29a1bbff6388c9309176a862f9493cc1469a29e6cb26c8f....0.tmp
- /data/data/####/2f950066d5276a86ac5162711ce42a687b686a0d54eaf5f....0.tmp
- /data/data/####/35893421b7dea3d815ff658db1b8f83b3e66f5c1bb36108....0.tmp
- /data/data/####/3c9403b8104b4ff2c1b17243e9ba46359ba57bcce71e65a....0.tmp
- /data/data/####/3d92d279c0c66156b025bf574f6d67a796d2d414998e1f9....0.tmp
- /data/data/####/59c31f187c046deec02c1aa19f81be2b0b654f9f0cfceec....0.tmp
- /data/data/####/5ddc8d779c201620decba1ecaa4106188d7b2da1f455aa9....0.tmp
- /data/data/####/5f8a09afc1cfb62b660e385360add342d9280544d750aca....0.tmp
- /data/data/####/60d880fd4451e83e34118c2446cfff3bb2fed4dc0f050cf....0.tmp
- /data/data/####/66c8f086fe6a5d1d31f350bcd728218674592693262f099....0.tmp
- /data/data/####/6800ef01ed2bd7b4fd1f4896991d7d218f964d5da0e2c17....0.tmp
- /data/data/####/70f10012b354cdda6c49c8dad6c870e89b6435422617be1....0.tmp
- /data/data/####/825e75b060f7cf1b970dc76c9d8fcf34eff2d41619ba3e8....0.tmp
- /data/data/####/90209f78eaa3f212c4236870c20768346ed0b138ffa41e3....0.tmp
- /data/data/####/9536d202b868b870e9213af33dc0d9627c7237ca497b129....0.tmp
- /data/data/####/a4c06365dcf2fa8c80c43aaf34295bee12a85c17ea43365....0.tmp
- /data/data/####/aa8b103bb10755139ef34b0aa50d5b7a4cfca6f60f34738....0.tmp
- /data/data/####/addplaylist.xml
- /data/data/####/aio_size.xml
- /data/data/####/autoUpdateTime.xml
- /data/data/####/backup
- /data/data/####/backup-journal
- /data/data/####/bb9f7e65ea83b2aa7ce8f93cdd938451761d5e3716b752a....0.tmp
- /data/data/####/c04b724f935f62744421333e2f7e4e7aa970eb3ce504891....0.tmp
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/country.xml
- /data/data/####/createmlist.xml
- /data/data/####/d3104502efed66e492122c6fe6fe97613c5d5e88fecdb30....0.tmp
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/download2.db
- /data/data/####/download2.db (deleted)
- /data/data/####/download2.db-journal
- /data/data/####/downloading.db
- /data/data/####/downloading.db-journal
- /data/data/####/downloading.db-shm
- /data/data/####/downloading.db-wal
- /data/data/####/e451a1ca468e7260095db3dd8faca8fef05e9cfd103a879....0.tmp
- /data/data/####/ea172e4c3c2cdfa9d9e12167413c6131506aac1814fa790....0.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/exitdialog.xml
- /data/data/####/f275fa20c456316042dec745634cfee373a9877f4e138a1....0.tmp
- /data/data/####/f325c5609acc313eec0b6a3b8f8e8a466cd65c6d3e81012....0.tmp
- /data/data/####/f3cb1c9e3fca15e6432a01f8b86d543a4515743f130af2b....0.tmp
- /data/data/####/f4e8f8eca972bf553c91098b3a19855e9a0b58b095709e4....0.tmp
- /data/data/####/f7e6d07ad7f82e502c0fef9a2dffa3fc87f00742eb53a13....0.tmp
- /data/data/####/ff4ecd26c997ce0f2c746538c57d90022dba9bba5d433af....0.tmp
- /data/data/####/file_list
- /data/data/####/file_list-journal
- /data/data/####/firstapp.xml
- /data/data/####/gallery_pop.xml
- /data/data/####/getsla.xml
- /data/data/####/goapptime.xml
- /data/data/####/homelauncher.xml
- /data/data/####/index
- /data/data/####/journal
- /data/data/####/journal.tmp
- /data/data/####/lanager.xml
- /data/data/####/lianxiren.xml
- /data/data/####/localfavor.db
- /data/data/####/localfavor.db-journal
- /data/data/####/localfavor.db-shm
- /data/data/####/localfavor.db-shm (deleted)
- /data/data/####/localfavor.db-wal
- /data/data/####/midtime.xml
- /data/data/####/midtimecollectbig.xml
- /data/data/####/multidex.version.xml
- /data/data/####/nolistapp.db
- /data/data/####/nolistapp.db-journal
- /data/data/####/nolistapp.db-shm
- /data/data/####/nolistapp.db-shm (deleted)
- /data/data/####/nolistapp.db-wal
- /data/data/####/noti
- /data/data/####/noti-journal
- /data/data/####/playlist.db
- /data/data/####/playlist.db-journal
- /data/data/####/playlist.db-shm
- /data/data/####/playlist.db-wal
- /data/data/####/scmusic.xml
- /data/data/####/sharekey.xml
- /data/data/####/sim.xml
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_general_config.xml (deleted)
- /data/data/####/umeng_it.cache
- /data/data/####/uninstall
- /data/data/####/uninstall-journal
- /data/data/####/uninstallapp.db
- /data/data/####/uninstallapp.db-journal
- /data/data/####/uninstallapp.db-shm (deleted)
- /data/data/####/uninstallapp.db-wal
- /data/data/####/uploadcount.xml
- /data/data/####/webview.db
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/aioupdate.apk
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/app_bin/daemon -p <Package> -s <Package>.service.DaemonService -t 60
Загружает динамические библиотеки:
- hello-jni
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Получает информацию о входящих/исходящих звонках.
Получает информацию о телефонных контактах.
