Техническая информация
Вредоносные функции:
Отправляет СМС-сообщения:
- 12114516412: systemcGx1dG8yNTAwMjY2OTkxODc3NDM=
- 106575206321505460: dyl#<IMSI>,<IMEI>,6000089-1-200-6_kh29s0222_-0
Загружает на исполнение код следующих детектируемых угроз:
- Android.Spy.205.origin
Отправляет данные получаемых СМС-сообщений на удалённый хост.
Сетевая активность:
Подключается к:
- huangda####.com
- sm####.####.com
- p####.####.com
- c####.####.com
- w####.####.com
- a####.####.com
- p####.####.cn
- collec####.####.com
Запросы HTTP GET:
- p####.####.com/sdkMis/getRdoUrl
- huangda####.com/resource!resource?resTypes=####&appid=####&channel=####&...
- w####.####.com/rdo/order/invalid;jsessionid=17E65414C16FB759B9CA417FD6AB...
- huangda####.com/active!activeLog.action?provider=####&clickId=####&manu=...
- w####.####.com/rdo/order?mcpid=####&orderNo=####&feeCode=####&reqTime=##...
- c####.####.com/20170424/tongyu-pay-lib-2145-2.apk
Запросы HTTP POST:
- p####.####.com/sdkMis/sdk-update
- p####.####.cn/index.php/API
- collec####.####.com/pay-data-collect/collectAppStartUserData.json
- p####.####.com/sdkMis/init-submit
- sm####.####.com/pay-sms-access//getAccessPayChannel.json
- huangda####.com/shop/shop_upload_log
- a####.####.com/app_logs
- collec####.####.com/pay-data-collect/uploadClientCrashLog.json
- collec####.####.com/pay-data-collect/uploadChannelNormalData.json
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/cache/crash/<Package>/crash-1495005853102.log
- <Package Folder>/app_apCoreplugn/sm.apk
- <Package Folder>/shared_prefs/pretw.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/sy_pay_config.xml.bak
- <Package Folder>/files/.imprint
- <Package Folder>/databases/mp.db
- <Package Folder>/databases/mp.db-journal
- <Package Folder>/app_plugin_dir/com.souying.pay.plugmain/1.0_100/base-1.apk
- <Package Folder>/cache/sm.apk.apk
- <Package Folder>/cache/map.apk.apk
- <Package Folder>/shared_prefs/sy_pay_config.xml
- <Package Folder>/app_plugin_dir/com.souying.sysms/1.0_1/dalvik-cache/base-1.dex
- <Package Folder>/cache/crash/<Package>/crash-1495005897065.log
- <Package Folder>/app_apCoreplugn/map.apk
- <Package Folder>/shared_prefs/com.souying.pay.xml
- <Package Folder>/cache/ws.dex
- <Package Folder>/files/.umeng/exchangeIdentity.json
- <Package Folder>/shared_prefs/device_id.xml.xml
- <Package Folder>/app_plugin_dir/com.souying.pay.plugmain/1.0_100/dalvik-cache/base-1.dex
- <Package Folder>/shared_prefs/plugins.installed.xml
- <Package Folder>/app_tongyu/plugins/tongyu-pay-lib.apk
- <Package Folder>/files/noend.ini
- <Package Folder>/shared_prefs/dispatch_log.xml
- <Package Folder>/cache/ws.apk
- <Package Folder>/shared_prefs/port.xml
- <Package Folder>/shared_prefs/TestinAgent.xml
- <Package Folder>/app_plugin_dir/com.souying.sysms/1.0_1/base-1.apk
- <Package Folder>/app_apCoreplugn/ZIP/plugin-20170330-2.1.9-release.bin
- <Package Folder>/shared_prefs/umeng_general_config.xml.bak
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/shared_prefs/com.souying.pay.plugmain_p_config.xml
- <Package Folder>/shared_prefs/port.xml.bak
- <Package Folder>/files/mobclick_agent_cached_<Package>200
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/cache/crash/<Package>/crash-1495005883285.log
- <Package Folder>/app_tongyu/plugins/download/tongyu-pay-lib.apk
- <Package Folder>/databases/recordInfo-journal
- <Package Folder>/shared_prefs/cpMsg.xml
Другие:
Запускает следующие shell-скрипты:
- cat /sys/block/mmcblk0/device/cid
- cat /proc/version
- <dexopt>
- cat /sys/class/net/wlan0/address
Может автоматически отправлять СМС-сообщения.
