Техническая информация
Вредоносные функции:
Отправляет СМС-сообщения:
- 106575206321505460: dyl#null,<IMEI>,6000239-1-136-wjzz_002-0
- 10691009: @8DYL#null,<IMEI>,6000239-1-136-wjzz_002-0
Загружает на исполнение код следующих детектируемых угроз:
- Android.SmsSend.1848.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- 1####.####.211
- a####.####.com
- and####.####.com
- huangda####.com
- i####.####.com
- i####.####.com:10003
- m####.com
- m####.com:8088
- p####.####.cc
- p####.####.com
- quanzh####.com:8088
- re####.####.com
- re####.####.com:10002
- v####.####.com
- xx####.com
- xx####.com:8080
Запросы HTTP GET:
- huangda####.com/resource!resource?resTypes=####&appid=####&channel=####&...
- i####.####.com/a/3521668acb8d3a1a04964513d0f7eb368
- p####.####.com/cityjson?ie=####
- re####.####.com/v1/sdk/init?net_name=####&imei=####&package_name=####&sd...
- re####.####.com:10002/v1/sdk/init?net_name=####&imei=####&package_name=#...
- v####.####.com/fileupload/a6cd5e6e690baa9d.jar
Запросы HTTP POST:
- 1####.####.211/amb/rhi.html
- a####.####.com/app_logs
- and####.####.com/rqd/async?aid=####
- i####.####.com:10003/v2/chis
- m####.com/sdk-selector/sdk/select
- m####.com:8088/sdk-selector/sdk/select
- p####.####.cc/index.php/MC/HB
- p####.####.com/api/q/a/3521668acb8d3a1a04964513d0f7eb368
- quanzh####.com:8088/MakeJoyJson/JsonRead
- v####.####.com/api/payment/updateInit
- xx####.com/app/getAd
- xx####.com:8080/app/getConfig
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/app_Wyzf_plg/wyzf_plg_5.0.8.jar
- <Package Folder>/app_crashrecord/1004
- <Package Folder>/databases/MA_epay_db
- <Package Folder>/databases/MA_epay_db-journal
- <Package Folder>/databases/MaiStore.db-journal
- <Package Folder>/databases/bil_db
- <Package Folder>/databases/bil_db-journal
- <Package Folder>/databases/bugly_db_-journal
- <Package Folder>/databases/mpush_game.db-journal
- <Package Folder>/databases/smspaywyzf.db
- <Package Folder>/databases/smspaywyzf.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/####/exchangeIdentity.json
- <Package Folder>/files/####/plus.jar
- <Package Folder>/files/.imprint
- <Package Folder>/files/libexec.so
- <Package Folder>/files/local_crash_lock
- <Package Folder>/files/local_crash_lock (deleted)
- <Package Folder>/files/mobclick_agent_cached_<Package>136
- <Package Folder>/files/mpush_gateway_preferences_file
- <Package Folder>/files/mpush_version_preferences_file
- <Package Folder>/files/security_info
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/pspace/nexor.jar
- <Package Folder>/pspace/prim.jar
- <Package Folder>/shared_prefs/3521668acb8d3a1a04964513d0f7eb368|account_file.xml
- <Package Folder>/shared_prefs/CONFIG.xml
- <Package Folder>/shared_prefs/TD_app_pefercen_profile.xml
- <Package Folder>/shared_prefs/TD_app_pefercen_profile.xml.bak
- <Package Folder>/shared_prefs/b_setting.xml
- <Package Folder>/shared_prefs/b_share.xml
- <Package Folder>/shared_prefs/crashrecord.xml
- <Package Folder>/shared_prefs/ma_call.xml
- <Package Folder>/shared_prefs/ma_data.xml
- <Package Folder>/shared_prefs/ma_epay_share.xml
- <Package Folder>/shared_prefs/ma_epay_share.xml.bak
- <Package Folder>/shared_prefs/nnt_data.xml
- <Package Folder>/shared_prefs/pref_file.xml
- <Package Folder>/shared_prefs/pref_file.xml.bak
- <Package Folder>/shared_prefs/pretw.xml
- <Package Folder>/shared_prefs/pretw.xml.bak
- <Package Folder>/shared_prefs/sdfgh.xml
- <Package Folder>/shared_prefs/share_data.xml
- <Package Folder>/shared_prefs/share_data.xml.bak
- <Package Folder>/shared_prefs/share_ecd.xml
- <Package Folder>/shared_prefs/share_version.xml
- <Package Folder>/shared_prefs/shared_file.xml
- <Package Folder>/shared_prefs/sp_name_configwyzf.xml
- <Package Folder>/shared_prefs/td_pefercen_profile.xml
- <Package Folder>/shared_prefs/td_pefercen_profile.xml.bak
- <Package Folder>/shared_prefs/tdid.xml
- <Package Folder>/shared_prefs/twc.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml.bak
- <Package Folder>/shared_prefs/wyzf_configwyzf.xml
- <Package Folder>/shared_prefs/zzconfig.xml
- <SD-Card>/.tcookieid
- <SD-Card>/.twservice/####/tw
- <SD-Card>/.twservice/qshp_3001_2277.zip
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop
- /system/bin/sh -c type su
- cat /sys/block/mmcblk0/device/cid
- getprop
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- Bugly
- a
- game
- libexec
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-GCM-NoPadding
- DES
- DES-CBC-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS5Padding
- AES-GCM-NoPadding
- DES
- DES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации о входящих/исходящих звонках.
Осуществляет доступ к информации об отправленых/принятых смс.
