Техническая информация
Вредоносные функции:
Отправляет СМС-сообщения:
- 12114516420: ####
Сетевая активность:
Подключается к:
- 1####.####.226:8002
- and####.####.com
- 1####.####.238:8977
- 1####.####.238
- 1####.####.226
- a####.####.com
Запросы HTTP GET:
- 1####.####.238:8977/dex/version.txt
- 1####.####.238/dex/ldsource.bin
- 1####.####.238/dex/version.txt
Запросы HTTP POST:
- 1####.####.226/api/qxt/tel/get
- 1####.####.226:8002/api/sl/vcoderule/getvalid
- a####.####.com/v1/conf/profile
- 1####.####.226/api/sl/vcoderule/getvalid
- and####.####.com/rqd/async
- a####.####.com/app_logs
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/tx_shell/libufix.so
- /data/data/####/databases/cc.db-journal
- /data/data/####/shared_prefs/mgsdkfin1.xml.bak
- /data/data/####/databases/ua.db
- /data/data/####/shared_prefs/####_preferences.xml
- /data/data/####/databases/cc.db
- /data/data/####/shared_prefs/device_id.xml.xml
- /data/data/####/shared_prefs/plugins.serviceMapping.xml
- /data/data/####/databases/ua.db-journal
- /data/data/####/shared_prefs/jmsdk.dat.xml
- /data/data/####/tx_shell/libnfix.so
- /data/data/####/databases/database.mirror
- /data/data/####/shared_prefs/umeng_general_config.xml
- /data/data/####/shared_prefs/version.dat.xml
- /data/data/####/databases/recordInfo.mirror
- /data/data/####/files/.umeng/exchangeIdentity.json
- /data/data/####/databases/ua.db.mirror
- /data/data/####/files/.imprint
- /data/data/####/shared_prefs/zhangpay_sms_info.xml
- /data/data/####/databases/mp.db.mirror
- /data/data/####/shared_prefs/mgsdkfin1.xml
- /data/data/####/mix.dex
- /data/data/####/files/exid.dat
- /data/data/####/databases/webview.db-journal
- /data/data/####/tx_shell/libshella-2.10.1.so
- /data/data/####/databases/webview.db.mirror
- /data/data/####/files/umeng_it.cache
- /data/data/####/databases/mp.db-journal
- /data/data/####/files/security_info
- /data/data/####/databases/recordInfo-journal
- /data/data/####/databases/bugly_db_legu.mirror
- /data/data/####/databases/mp.db
- /data/data/####/cache/crash/####/crash-1485415597632.log
- /data/data/####/databases/bugly_db_legu-journal
- /data/data/####/files/local_crash_lock
- /data/data/####/files/native_record_lock
- /data/data/####/databases/database-journal
- /data/data/####/app_dex/classes.jar
- /data/data/####/databases/cc.db.mirror
Присваивает атрибут 'исполняемый' для следующих файлов:
- /data/data/####/tx_shell/libufix.so
- /data/data/####/tx_shell/libshella-2.10.1.so
- /data/data/####/tx_shell/libnfix.so
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.build.rom.id
Использует специальную библиотеку для скрытия исполняемого байткода.
Может автоматически отправлять СМС-сообщения.
