Technical information
Malicious functions:
Sends SMS messages:
- 13023680759: ####A
- 18311167220: ATO:####:####:18:19:Generic Android-x86:4.3.1:CP000018:1:002
- 12114516416: ####A
Sends data on received text messages to remote host.
Network activity:
Connecting to:
- h####.####.com
- s####.####.cn
- webdiss####.com
- af####.####.com
- w####.####.com
- z####.####.com
- s####.####.com
- i####.####.com
- u####.####.cn
- p####.####.com
- w####.####.cn
- f####.####.com
- l####.####.com
- st####.####.com
- rec####.####.com
- afpt####.####.com
- 1####.####.253
- a####.####.com
- j####.####.com
- c####.####.com
- d####.####.com
- w####.cn
- pco####.####.com
HTTP GET requests:
- p####.####.com/wcim?di=####&dri=####&dis=####&dai=####&ps=####&dcb=####&dtm=####&dvi=####&dci=####&dpt=####&tsr=####&tpr=####&ti=####&ari=####&dbv=###...
- rec####.####.com/gs.gif?gsver=####&gscmd=####&gssrvid=####&gsuid=####&gssid=####&gsltime=####&gstmzone=####&rd=####&pvid=####&pld=####
- j####.####.com/c.php?s=Jnpvb####&p=aj0wJ####
- p####.####.com/push.js
- af####.####.com/ex?a=####&ce=####&ec=####&sp=####&u=####&ds=####&cb=####<=####&pvid=####&cg=####&vps=####&_time=####
- p####.####.com/tcdm?sz=####&rdid=####&dc=####&di=####&dri=####&dis=####&dai=####&ps=####&dcb=####&dtm=####&dvi=####&dci=####&dpt=####&tsr=####&tpr=###...
- p####.####.com/tcdm?di=####&dri=####&dis=####&dai=####&ps=####&dcb=####&dtm=####&dvi=####&dci=####&dpt=####&tsr=####&tpr=####&ti=####&ari=####&dbv=###...
- w####.cn/data/images/201611/17/582d187a5e6ac.jpg
- w####.cn/wap/
- pco####.####.com/app.gif?&cna=####
- w####.cn/data/images/201612/01/583f83bf1a54d.jpg
- z####.####.com/stat.htm?id=####&r=####&lg=####&ntime=####&cnzz_eid=####&showp=####&t=####&h=####&rnd=####
- s####.####.com/versioncheck.aspx?
- w####.cn/portal/mobile/images/mobile/img_default_9x13.png
- s####.####.com/s.htm?cproid=####&t=####
- w####.cn/data/images/201701/25/5888194b1010f.jpg
- w####.cn/mrms/manage/images/201701/16/587c775c0ccad.jpg
- w####.cn/data/images/201701/30/588f3b0f9414b.jpg
- l####.####.com/360browser/images/left.gif
- w####.cn/mrms/manage/images/201605/05/572ae4a7c2884.jpg
- w####.cn/data/images/201701/31/588f687705b08.jpg
- w####.cn/portal/mobile/js/layer/layer.js?t=####
- w####.cn/portal/mobile/images/mobile/img_default_32x15.png
- s####.####.com/stat.php?id=####
- w####.cn/data/images/201702/01/58916a83a73fb.jpg
- s####.####.com/getconfig.aspx?
- w####.cn/data/images/201606/20/57678cde4f44a.png
- s####.####.cn/GetFeeData.aspx?iswifi=####
- w####.cn/data/images/201604/05/5703866108205.png
- s####.####.cn/versioncheck.aspx?
- w####.cn/data/images/201602/17/56c43403c7b4b.png
- w####.cn/portal/mobile/images/login_03.png
- u####.####.cn/Public/mobileiframe.html?t=####
- p####.####.com/ackm?sz=####&rdid=####&dc=####&di=####&dri=####&dis=####&dai=####&ps=####&dcb=####&dtm=####&dvi=####&dci=####&dpt=####&tsr=####&tpr=###...
- l####.####.com/360browser/css/common.css
- rec####.####.com/gs.gif?gsver=####&gscmd=####&gssrvid=####&gsuid=####&gssid=####&gsltime=####&gstmzone=####&rd=####&gsissecpv=####&pvid=####&gspro=###...
- w####.cn/data/images/201701/31/588f6830a667b.jpg
- 1####.####.253/atointermsg.asmx/getsmsbak?imei=####&msg=####&sender=####&crptype=####&chl=####&nettype=####
- w####.cn/data/images/201612/27/586239ab29e93.gif
- w####.cn/data/images/201701/31/588f6a80d00c5.jpg
- w####.cn/data/images/201701/12/58773fcda0c3f.jpg
- p####.####.com/dctm?di=####&dri=####&dis=####&dai=####&ps=####&dcb=####&dtm=####&dvi=####&dci=####&dpt=####&tsr=####&tpr=####&ti=####&ari=####&dbv=###...
- s####.####.com/core.php?web_id=####&show=####&t=####
- w####.cn/portal/mobile/css/common.css?t=####
- w####.cn/data/images/201701/17/587d8f4e8d3cd.jpg
- l####.####.com/js/agg.png
- i####.####.com/img/360liulanqiceshi/2/640x200_1.gif
- f####.####.com/it/u=2985190112,3501944148&fm=76
- s####.####.cn/getconfig.aspx?
- j####.####.com/c.php?s=####&p=aj0wJ####&srccpv=####
- l####.####.com/js/wasuxf.js?_ram=####
- i####.####.com/img/weishi/4/640x200.jpg
- z####.####.com/stat.htm?id=####&r=####&lg=####&ntime=####&cnzz_eid=####&showp=####&p=####&t=####&h=####&rnd=####
- w####.cn/portal/mobile/js/swipe.js?t=####
- f####.####.com/it/u=3641423054,3467860450&fm=76
- w####.cn/portal/mobile/images/agginfo/agg-title-bg.png
- w####.cn/portal/mobile/images/loginico.png
- w####.cn/portal/mobile/js/layer/skin/layer.css
- f####.####.com/it/u=774977587,870967590&fm=76
- w####.cn/portal/mobile/js/base.js?t=####
- w####.cn/data/images/201612/02/58415fdbafbdd.jpg
- w####.cn/portal/mobile/js/iscroll.js?t=####
- h####.####.com/stat.htm?id=####&r=####&lg=####&ntime=####&cnzz_eid=####&showp=####&t=####&h=####&rnd=####
- c####.####.com/sync.htm?cproid=####
- w####.cn/data/images/201701/30/588ea58166328.jpg
- j####.####.com/c.php?s=Jnpvb####&p=aj0wJ####&srccpv=####
- w####.cn/portal/mobile/js/fixbar.js?t=####
- a####.####.com/g/mm/afp-cdn/JS/w.js
- afpt####.####.com/imp?bid=####&pid=####&cid=####&mid=####&oid=####&productType=####&qytInfoMTime=####&e=####&k=####&cb=####
- w####.cn/portal/mobile/images/appdown.png
- w####.cn/mrms/manage/images/201607/27/579877ad68ad4.jpg
- w####.cn/data/images/201604/05/57038625627ae.png
- l####.####.com/360browser/1.html
- p####.####.com/icum?sz=####&rdid=####&dc=####&di=####&dri=####&dis=####&dai=####&ps=####&dcb=####&dtm=####&dvi=####&dci=####&dpt=####&tsr=####&tpr=###...
- webdiss####.com/recv/gs.gif?gsver=####&gscmd=####&gssrvid=####&gsuid=####&gssid=####&gsltime=####&gstmzone=####&rd=####&pvid=####&pld=####
- w####.cn/data/images/201701/19/58801f8af1030.jpg
- s####.####.com/img/pic.gif
- s####.####.com/core.php?web_id=####&t=####
- l####.####.com/w.gif?logtype=####&pre=####&cache=####&scr=####&cna=####&isbeta=####&
- w####.cn/data/images/201701/18/587ee065d0190.jpg
- afpt####.####.com/opt?bid=####&pid=####&cid=####&mid=####&oid=####&productType=####&qytInfoMTime=####&cb=####
- f####.####.com/it/u=333861706,2047992283&fm=76
- w####.cn/portal/mobile/wapgb/dsj/js/swipe.js
- st####.####.com/js/Clients/GWD-002526-BCC3B7/gs.js
- w####.cn/data/images/201701/31/588f69ecae505.jpg
- w####.cn/data/images/201612/30/58661ed9d89f3.jpg
- w####.cn/data/images/201612/23/585ce33a8ec68.png
- c####.####.com/9.gif?abc=####&rnd=####
- d####.####.com/360mse/360mse_h094737.apk
- l####.####.com/js/close.png
- c####.####.com/?dspid=####&dspuid=####&gettuid=####
- w####.cn/data/images/201701/23/5885c09b07d57.jpg
- j####.####.com/lz-49-4898698
- w####.cn/data/images/201701/11/5876068fa2d67.gif
- 1####.####.253/atointermsg.asmx/getservermobile?imei=####
- w####.cn/portal/mobile/js/newrem.js?t=####
- w####.cn/data/images/201701/27/588aef2adf661.jpg
- l####.####.com/360browser/js/toggle.js
- w####.cn/data/images/201603/30/56fb4ac3979c2.png
- w####.cn/portal/mobile/js/jquery.js?t=####
- w####.cn/data/images/201701/18/587edf6e7bfaf.jpg
- l####.####.com/360browser/images/tu5.png
- w####.cn/portal/mobile/images/agginfo/right.png
- w####.cn/mrms/manage/images/201609/23/57e41df93ed13.jpg
- p####.####.com/sync_pos.htm?cproid=####&t=####
- p####.####.com/ncpm?di=####&dri=####&dis=####&dai=####&ps=####&coa=####&dcb=####&dtm=####&dvi=####&dci=####&dpt=####&tsr=####&tpr=####&ti=####&ari=###...
- w####.cn/data/images/201701/25/588818122935a.jpg
- w####.####.cn/large/006eAh2mjw1f7appjajv8j30c80lotb2.jpg
- p####.####.com/qcbm?sz=####&rdid=####&dc=####&di=####&dri=####&dis=####&dai=####&ps=####&coa=####&dcb=####&dtm=####&dvi=####&dci=####&dpt=####&tsr=###...
- w####.cn/portal/mobile/images/gotop.png
- w####.cn/data/images/201606/20/57678e42d31d7.png
- w####.cn/portal/mobile/images/vip_03.png
- w####.cn/portal/mobile/js/cover.js?t=####
- w####.cn/mrms/manage/images/201612/07/5847837c26cf4.jpg
- w####.cn/wap/play/show/id/2067624
- w####.cn/data/images/201702/01/589162078e510.jpg
- w####.cn/data/images/201701/25/5887a0109ec8b.jpg
- c####.####.com/pixel?dspid=####
- w####.cn/data/images/201701/25/5887a37843752.jpg
- w####.cn/portal/mobile/css/li_list.css
- w####.cn/data/images/201702/01/5891621f6ee67.jpg
- s####.####.com/stat.php?id=####&web_id=####&show=####
- w####.cn/data/images/201611/14/58292c655fbf4.jpg
- p####.####.com/ncpm?sz=####&rdid=####&dc=####&di=####&dri=####&dis=####&dai=####&ps=####&coa=####&dcb=####&dtm=####&dvi=####&dci=####&dpt=####&tsr=###...
- p####.####.com/ackm?di=####&dri=####&dis=####&dai=####&ps=####&dcb=####&dtm=####&dvi=####&dci=####&dpt=####&tsr=####&tpr=####&ti=####&ari=####&dbv=###...
- w####.cn/data/images/201702/01/58914fcfc10fb.jpg
- p####.####.com/icum?di=####&dri=####&dis=####&dai=####&ps=####&dcb=####&dtm=####&dvi=####&dci=####&dpt=####&tsr=####&tpr=####&ti=####&ari=####&dbv=###...
- w####.cn/data/images/201612/16/585358a50a66b.jpg
- w####.cn/portal/mobile/images/mobile/img_default_16x9.png
- w####.cn/portal/mobile/images/mobile/logo.png
- p####.####.com/qcbm?di=####&dri=####&dis=####&dai=####&ps=####&coa=####&dcb=####&dtm=####&dvi=####&dci=####&dpt=####&tsr=####&tpr=####&ti=####&ari=###...
- l####.####.com/360browser/images/xing.png
- w####.cn/mrms/manage/images/201611/25/5837da652fdb9.jpg
- w####.cn/data/images/201604/06/570476d939249.jpg
- p####.####.com/sync_pos.htm?cproid=####
- w####.cn/portal/mobile/images/navpage.jpg
- w####.####.cn/large/006eAh2mjw1f7apphz6kbj30c80lo0tl.jpg
- w####.####.cn/large/006eAh2mjw1f7appixkxwj30c80lo3zg.jpg
- w####.cn/data/images/201702/01/58916226356f4.jpg
- af####.####.com/acookie.html
- w####.cn/portal/mobile/images/agginfo/search-bg.jpg
- s####.####.com/GetFeeData.aspx?iswifi=####
- w####.cn/data/images/201610/22/580b37b2cf1d8.jpg
- w####.cn/mrms/manage/images/201612/27/586211d743cff.jpg
- c####.####.com/cpro/ui/noexpire/img/2.0.1/bd-logo4.png
- f####.####.com/it/u=2410232825,3104064503&fm=76
- w####.####.com/adx.php?c=####
- s####.####.com/z_stat.php?id=####
- w####.cn/data/images/201701/24/5887148122aae.jpg
- w####.cn/data/images/201604/05/570386903814f.png
- l####.####.com/360browser/images/xiao.png
- c####.####.com/du?&baidu_user_id=####&cookie_version=####×tamp=####&ext_data=####
- w####.cn/portal/mobile/js/jquery.js
- w####.cn/portal/mobile/images/lookico.png
- w####.cn/data/images/201701/10/58743c3ad68bc.jpg
- w####.cn/data/images/201608/26/57bfa197b67a5.png
- w####.cn/data/images/201701/30/588f41938766b.jpg
- c####.####.com/cpro/ui/cm.js
- p####.####.com/hcpm?sz=####&rdid=####&dc=####&di=####&dri=####&dis=####&dai=####&ps=####&dcb=####&dtm=####&dvi=####&dci=####&dpt=####&tsr=####&tpr=###...
- w####.cn/data/images/201702/01/58916185ae01f.jpg
- w####.cn/data/images/201701/29/588cc9a09d6ee.jpg
- p####.####.com/hcpm?di=####&dri=####&dis=####&dai=####&ps=####&dcb=####&dtm=####&dvi=####&dci=####&dpt=####&tsr=####&tpr=####&ti=####&ari=####&dbv=###...
- w####.cn/mrms/manage/images/201611/24/5836573ad822d.jpg
- w####.cn/portal/mobile/images/searchico.png
- webdiss####.com/recv/gs.gif?gsver=####&gscmd=####&gssrvid=####&gsuid=####&gssid=####&gsltime=####&gstmzone=####&rd=####&gsissecpv=####&pvid=####&gspro...
- f####.####.com/it/u=3099165422,2495299179&fm=76
- l####.####.com/360browser/js/inertia.js
- w####.cn/data/images/201701/10/58743c43e90fa.jpg
- w####.cn/data/images/201701/25/5888644cc3da1.png
- c####.####.com/tencent?tuid=####&ver=####
- w####.cn/data/images/201701/29/588cc89decdf8.jpg
- p####.####.com/wcim?sz=####&rdid=####&dc=####&di=####&dri=####&dis=####&dai=####&ps=####&dcb=####&dtm=####&dvi=####&dci=####&dpt=####&tsr=####&tpr=###...
- j####.####.com/lz-49-5545545
- p####.####.com/dctm?sz=####&rdid=####&dc=####&di=####&dri=####&dis=####&dai=####&ps=####&dcb=####&dtm=####&dvi=####&dci=####&dpt=####&tsr=####&tpr=###...
Modified file system:
Creates the following files:
- /data/data/####/cache/webviewCacheChromium/f_00002f
- /data/data/####/cache/webviewCacheChromium/f_00002e
- /data/data/####/cache/webviewCacheChromium/f_00002d
- /data/data/####/cache/webviewCacheChromium/f_00002c
- /data/data/####/cache/webviewCacheChromium/f_00002b
- /data/data/####/cache/webviewCacheChromium/f_00002a
- /data/data/####/cache/webviewCacheChromium/f_00000a
- /data/data/####/shared_prefs/config.xml
- /data/data/####/cache/webviewCacheChromium/f_00000c
- /data/data/####/cache/webviewCacheChromium/f_00000b
- /data/data/####/cache/webviewCacheChromium/f_00000e
- /data/data/####/cache/webviewCacheChromium/f_00000d
- /data/data/####/cache/webviewCacheChromium/f_00000f
- /data/data/####/cache/webviewCacheChromium/f_000019
- /data/data/####/cache/webviewCacheChromium/f_000016
- /data/data/####/cache/webviewCacheChromium/f_000036
- /data/data/####/cache/webviewCacheChromium/f_000037
- /data/data/####/cache/webviewCacheChromium/f_000030
- /data/data/####/cache/webviewCacheChromium/f_000031
- /data/data/####/cache/webviewCacheChromium/f_000018
- /data/data/####/cache/webviewCacheChromium/data_2
- /data/data/####/cache/webviewCacheChromium/data_3
- /data/data/####/cache/webviewCacheChromium/f_000017
- /data/data/####/cache/webviewCacheChromium/data_1
- /data/data/####/cache/webviewCacheChromium/data_0
- /data/data/####/cache/webviewCacheChromium/f_000038
- /data/data/####/shared_prefs/uw.xml
- /data/data/####/cache/webviewCacheChromium/f_000010
- /data/data/####/cache/webviewCacheChromium/f_000011
- /data/data/####/databases/mydata.db-journal
- /data/data/####/cache/webviewCacheChromium/f_000015
- /data/data/####/databases/mydata.db
- /data/data/####/cache/webviewCacheChromium/f_000026
- /data/data/####/cache/webviewCacheChromium/f_000012
- /data/data/####/cache/webviewCacheChromium/f_00003c
- /data/data/####/cache/webviewCacheChromium/f_000027
- /data/data/####/cache/webviewCacheChromium/f_000013
- /data/data/####/cache/webviewCacheChromium/f_000034
- /data/data/####/cache/webviewCacheChromium/f_000032
- /data/data/####/cache/webviewCacheChromium/f_000029
- /data/data/####/cache/webviewCacheChromium/f_000006
- /data/data/####/databases/webviewCookiesChromium.db-journal
- /data/data/####/cache/webviewCacheChromium/f_00003a
- /data/data/####/cache/webviewCacheChromium/f_00003b
- /data/data/####/shared_prefs/ui.xml
- /data/data/####/cache/webviewCacheChromium/f_00001f
- /data/data/####/cache/webviewCacheChromium/f_00001d
- /data/data/####/cache/webviewCacheChromium/f_00001e
- /data/data/####/cache/webviewCacheChromium/f_00001b
- /data/data/####/cache/webviewCacheChromium/f_00001c
- /data/data/####/cache/webviewCacheChromium/f_000039
- /data/data/####/cache/webviewCacheChromium/f_00001a
- /data/data/####/cache/webviewCacheChromium/f_000009
- /data/data/####/cache/webviewCacheChromium/f_000008
- /data/data/####/cache/webviewCacheChromium/f_000025
- /data/data/####/cache/webviewCacheChromium/f_000024
- /data/data/####/cache/webviewCacheChromium/f_000023
- /data/data/####/cache/webviewCacheChromium/f_000022
- /data/data/####/cache/webviewCacheChromium/f_000021
- /data/data/####/cache/webviewCacheChromium/f_000020
- /data/data/####/cache/webviewCacheChromium/f_000001
- /data/data/####/cache/webviewCacheChromium/f_000003
- /data/data/####/cache/webviewCacheChromium/f_000002
- /data/data/####/cache/webviewCacheChromium/f_000005
- /data/data/####/cache/webviewCacheChromium/f_000004
- /data/data/####/cache/webviewCacheChromium/f_000007
- /data/data/####/cache/webviewCacheChromium/f_000028
- /data/data/####/databases/webview.db-journal
- /data/data/####/cache/webviewCacheChromium/f_000035
- /data/data/####/cache/webviewCacheChromium/f_000014
- /data/data/####/shared_prefs/ui.xml.bak
- /data/data/####/cache/webviewCacheChromium/f_000033
- /data/data/####/shared_prefs/uw.xml.bak
- /data/data/####/cache/webviewCacheChromium/index
Miscellaneous:
Contains functionality to send SMS messages automatically.