Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.SmsSpy.677.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) q####.qi1####.com:14302
- TCP(HTTP/1.1) 1####.26.2.65:3701
- TCP(HTTP/1.1) 1####.26.2.65:3702
- TCP(HTTP/1.1) q####.qi1####.com:8200
- TCP(HTTP/1.1) hangzho####.oss-cn-####.aliy####.com:80
- TCP(HTTP/1.1) www.go####.com:80
- TCP(HTTP/1.1) q####.qi1####.com:9600
- TCP(HTTP/1.1) q####.qi1####.com:9500
- TCP(TLS/1.0) www.go####.com:443
Запросы DNS:
- a####.u####.com
- hangzho####.oss-cn-####.aliy####.com
- q####.qi1####.com
- q####.qi1####.com
- qyc####.qi1####.com
- www.go####.com
Запросы HTTP GET:
- hangzho####.oss-cn-####.aliy####.com/qiyi/client/sdk/so/libzxvps.so
- www.go####.com/complete/search?hl=####&client=####&q=####
Запросы HTTP POST:
- a####.u####.com/app_logs
- q####.qi1####.com:14302/sdk_login?t=####
- q####.qi1####.com:8200/qy/getOnlineLoginHttpReq
- q####.qi1####.com:9500/
- q####.qi1####.com:9600/
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/2072.dex
- <Package Folder>/cache/2072.dex (deleted)
- <Package Folder>/databases/qy_db_pay-journal
- <Package Folder>/files/####/libmiguED.so
- <Package Folder>/files/.imprint
- <Package Folder>/files/MiguPay.Sdk30.Lib_12003011_93c096f1ff1a2...02.cod
- <Package Folder>/files/MiguPay.Sdk30.Lib_12003011_93c096f1ff1a2...02.dat
- <Package Folder>/files/PaySDK-1.2.9.13-UR_yx.jar
- <Package Folder>/files/PaySDK-1.2.9.13-UR_yx.zip
- <Package Folder>/files/forward_pay_370.jar
- <Package Folder>/files/libmgRun_04.22.07_01.so
- <Package Folder>/files/mgAS.dat
- <Package Folder>/files/mgSS.dat
- <Package Folder>/files/mgid.dat
- <Package Folder>/files/mobclick_agent_cached_<Package>2
- <Package Folder>/files/pid
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/libzxvps/####/libzxvps.so
- <Package Folder>/libzxvps/####/tmp_so
- <Package Folder>/shared_prefs/mobclick_agent_online_setting_<Package>.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/unknown.xml
- <SD-Card>/.Systemp/.cfg
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh
- app_process /system/bin com.android.commands.am.Am startservice --user 0 -n <Package>/com.tencent.mm.f.s.a
- cat /sys/block/mmcblk0/device/cid
- chmod 777 <Package Folder>/lib/process
- dd if=<Package Folder>/lib/libprocess.so of=<Package Folder>/lib/process
- ls -l /sbin/su
- ls -l /system/bin/su
- ls -l /system/sbin/su
- ls -l /system/xbin/su
- ls -l /vendor/bin/su
- ps | grep <Package>
- sh
Загружает динамические библиотеки:
- cocos2dcpp
- libtools
- libzxvps
- megjb
- mg20pbase
- process
Использует следующие алгоритмы для шифрования данных:
- DES-ECB-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- DES-ECB-NoPadding
- RSA-ECB-PKCS1Padding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Осуществляет доступ к информации об отправленых/принятых смс.
