Техническая информация
Вредоносные функции:
Отправляет СМС-сообщения:
- 106575206321505460: dyl#null,<IMEI>,6000267-1-5-kmu498-0
- 10691009: @8DYL#null,<IMEI>,6000267-1-5-kmu498-0
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.247.origin
- Android.Triada.248.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- 6####.####.140
- col####.####.com
- cser####.####.cn
- huangda####.com
- i####.####.com
- i####.####.net
- i####.####.net:10001
- l####.####.com
- p####.####.com
- u####.####.net
Запросы HTTP GET:
- 6####.####.140/ando/i/mon?k=####&d=####
- huangda####.com/active!activeLog.action?provider=####&clickId=####&manu=...
- i####.####.com/ando-res/ads/0/9/837ec120-ccf8-4ad0-b6fd-1303ff645eca/773...
- i####.####.net/v1/splog/config?net_name=####&imei=####&package_name=####...
- i####.####.net:10001/v1/update/check?user_id=####&app_id=####&channel_id...
- p####.####.com/cityjson?ie=####
- u####.####.net/update/pay073156.md
Запросы HTTP POST:
- col####.####.com/pay-data-collect/collectAppStartUserData.json
- cser####.####.cn/channel/paymentHandle.action?v=####&requestId=####
- l####.####.com/sdk.php
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/cache/####/crash-1501849927604.log
- <Package Folder>/cache/####/crash-1501849933701.log
- <Package Folder>/cache/####/crash-1501849940792.log
- <Package Folder>/code-4048788/05dvWgmBpEluBRvh
- <Package Folder>/databases/ho7WmgGwg3nl3-Mm26BSnQRuGY5NwHuF_9su20Fukaj-dUMImTZdDzw==
- <Package Folder>/databases/ho7WmgGwg3nl3-Mm26BSnQRuGY5NwHuF_9su20Fukaj-dUMImTZdDzw==-journal
- <Package Folder>/databases/ho7WmgGwg3nl3-Mm26BSnQRuGY5NwHuF_RDt1AaGyb8W7ScBCE4bxVpD-c9s=
- <Package Folder>/databases/ho7WmgGwg3nl3-Mm26BSnQRuGY5NwHuF_RDt1AaGyb8W7ScBCE4bxVpD-c9s=-journal
- <Package Folder>/databases/ho7WmgGwg3nl3-Mm26BSnQRuGY5NwHuF_d3LkK_OE_1BpZqeGaJyXTw==
- <Package Folder>/databases/ho7WmgGwg3nl3-Mm26BSnQRuGY5NwHuF_d3LkK_OE_1BpZqeGaJyXTw==-journal
- <Package Folder>/databases/ho7WmgGwg3nl3-Mm26BSnQRuGY5NwHuF_jqLrxRUaQkA=-journal
- <Package Folder>/databases/ho7WmgGwg3nl3-Mm26BSnQRuGY5NwHuF_juedk3habNMf6LWm
- <Package Folder>/databases/ho7WmgGwg3nl3-Mm26BSnQRuGY5NwHuF_juedk3habNMf6LWm-journal
- <Package Folder>/databases/recordInfo-journal
- <Package Folder>/databases/sy_pay_record-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/####/0a7387b8-8115-46bf-babf-c3933b0dfab8.pic
- <Package Folder>/files/####/1501849927428_2100
- <Package Folder>/files/####/1501849927445_2100
- <Package Folder>/files/####/1501849927520_2100
- <Package Folder>/files/####/1501849927733_2100
- <Package Folder>/files/####/1501849933532_2255
- <Package Folder>/files/####/1501849933585_2255
- <Package Folder>/files/####/1501849933681_2255
- <Package Folder>/files/####/1501849940544_2390
- <Package Folder>/files/####/1501849940619_2390
- <Package Folder>/files/####/1501849940729_2390
- <Package Folder>/files/####/20YFCJew8jUudGoq.zip
- <Package Folder>/files/####/23z83Itq6AkXBB90uphaPwEQwRU=.new
- <Package Folder>/files/####/633053ec-6cfa-41c1-992e-4c1879522537.pic.temp
- <Package Folder>/files/####/7-EYVQqjSrts3qI1CRIXGT0MdcVdUsS4m1T33w==.new
- <Package Folder>/files/####/7_w29w9zOtoB_QdF0-YGJ_N75QESiD-Dtl6NPpQtItc=.new
- <Package Folder>/files/####/88a6d873-c78b-4abd-9be8-728fb6d8f3da.pic.temp
- <Package Folder>/files/####/9e350ac5-6ea8-4ce3-872a-5554980507a4.pic.temp
- <Package Folder>/files/####/AhMkWN5mDg4P99sXPdz85Qc1HGSaI3i3AB-C3g==.new
- <Package Folder>/files/####/Aye6gMm7f0nUDYeYerMVjq7llus=.new
- <Package Folder>/files/####/B9neyVyExSUcb9V36fzAbg==.new
- <Package Folder>/files/####/CvpljFBrXvYbj-QZ28Z2CA==
- <Package Folder>/files/####/DjTc3q27K1x8f36YN75GdFekpzSfbSPT.new
- <Package Folder>/files/####/Er1w1OPVoVgRaC6MtFNRqU52b4vFOEru.new
- <Package Folder>/files/####/ErQ_AVoXxByofgdYImKQfJ4vLx6qrj60.new
- <Package Folder>/files/####/EslAOJT37Hpvuck4rHmQq89sBkfze4EDm7zRXTIh5KY=.new
- <Package Folder>/files/####/JHX2dfN4T0If3AfrkWSTsrM8G-Cyfshy.new
- <Package Folder>/files/####/JOrYmCBW48NAtMXq-MzNPS0CGwk6A6M1.new
- <Package Folder>/files/####/KwAfNYBgwFSCRy_x
- <Package Folder>/files/####/M7azX_WYPBlsn7YI.new
- <Package Folder>/files/####/Q_ss9QVFwHcwZnZiEHal3XvguKE=.temp
- <Package Folder>/files/####/TJcTOfRw2oYU6I5lsx3tEfaFk0GT2k48.new
- <Package Folder>/files/####/TmCHZ0TbmO2GEWAUQJogdw==
- <Package Folder>/files/####/X3jLPGZKObxjgF3d55I3aR0evws=.new
- <Package Folder>/files/####/a740c27f-7bd4-4b5d-856e-297b4a9d9155.pic
- <Package Folder>/files/####/cGSXmVYJx-7Jf8SYoUXarg2GVzI=.temp
- <Package Folder>/files/####/cf8bd1d8-4cf9-44d7-af82-d3deaca3cc01.pic.temp
- <Package Folder>/files/####/e419c958-d183-411e-bcb9-399e6c385431.pic.temp
- <Package Folder>/files/####/eY4X1LeGAo57J3-EL5QCuw4LNY8=
- <Package Folder>/files/####/fea4b626-b82e-449e-b0be-87211059ffdb.pic.temp
- <Package Folder>/files/####/g8_It2pc5l-62H3UiY1fIQ-G1AaOwdCZ.new
- <Package Folder>/files/####/hbipuw_f.zip
- <Package Folder>/files/####/ijpH779uiMyU0BeYVfNpYw==.new
- <Package Folder>/files/####/iqGN8MzUbhihhmv1P8MRwBgOYSH8yXi_oyYWUA==.new
- <Package Folder>/files/####/kRTt969DDUgsCq88N6E6xLZ_Aoxo5wSU-NvhvW26DVo=.new
- <Package Folder>/files/####/oCWrcIYi53luWCaEOw4AZjiZBDlZF9fk2FG6YeyTH7w=.new
- <Package Folder>/files/####/r3Obo_SgoimX-zj0DoExfA==
- <Package Folder>/files/####/r3Obo_SgoimX-zj0DoExfA==.new
- <Package Folder>/files/####/runner_info.prop.new
- <Package Folder>/files/####/uLUqJTDRsanXXBaH0IwEHKlUJFI=.new
- <Package Folder>/files/####/xBLrLuJKJpatBAZ3YKUXEVPMDH04ny8c.new
- <Package Folder>/files/####/zj4WquoMgQXEsEqSK1uah1C4iJI=
- <Package Folder>/files/56.jar
- <Package Folder>/files/56.md
- <Package Folder>/files/pay.jar
- <Package Folder>/files/pay.md
- <Package Folder>/files/rdata_comyvznyxpn
- <Package Folder>/files/rdata_comyvznyxpn.new
- <Package Folder>/files/yf.apk
- <Package Folder>/files/yf.dex (deleted)
- <Package Folder>/files/yy.dt
- <Package Folder>/shared_prefs/3521668acb8d3a1a04964513d0f7eb368|account_file.xml
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/shared_prefs/TD_app_pefercen_profile.xml
- <Package Folder>/shared_prefs/TD_app_pefercen_profile.xml.bak
- <Package Folder>/shared_prefs/TDpref_game.xml
- <Package Folder>/shared_prefs/TDpref_longtime.xml
- <Package Folder>/shared_prefs/TDpref_longtime3.xml
- <Package Folder>/shared_prefs/TDpref_longtime3.xml.bak
- <Package Folder>/shared_prefs/TDpref_shorttime.xml
- <Package Folder>/shared_prefs/data.xml
- <Package Folder>/shared_prefs/data.xml.bak
- <Package Folder>/shared_prefs/p_config.xml
- <Package Folder>/shared_prefs/pretw.xml
- <Package Folder>/shared_prefs/pretw.xml.bak
- <Package Folder>/shared_prefs/pretw6000050.xml
- <Package Folder>/shared_prefs/sdk.xml
- <Package Folder>/shared_prefs/sp_name_config20647207.xml
- <Package Folder>/shared_prefs/sp_name_config20647207.xml.bak
- <Package Folder>/shared_prefs/sy_pay_config.xml
- <Package Folder>/shared_prefs/sy_pay_config.xml.bak
- <Package Folder>/shared_prefs/tdid.xml
- <Package Folder>/shared_prefs/twc.xml
- <Package Folder>/shared_prefs/twc.xml.bak
- <Package Folder>/shared_prefs/wyzf_config20647207.xml
- <SD-Card>/.armsd/####/11d3d9f6-f71a-4a30-94fc-a71ae7b74b42.res
- <SD-Card>/.armsd/####/19d6d7db-506f-4cee-bddd-8472af76acc4.res
- <SD-Card>/.armsd/####/25c6dd07-6c6a-4513-9258-efc9f6af54b9.res
- <SD-Card>/.armsd/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
- <SD-Card>/.armsd/####/806cc0a8-ff3c-41e1-831b-f32c3f51d32e.res
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
- <SD-Card>/.armsd/####/MP8MtaBuguN9jnuSwtN1kQ==
- <SD-Card>/.armsd/####/r_pkDgN4OhnkSa0D
- <SD-Card>/.env/.uunique.new
- <SD-Card>/.exit
- <SD-Card>/.tcookieid
- <SD-Card>/.twservice/####/tw
- <SD-Card>/.twservice/qshp_3003_2280.zip
- <SD-Card>/.twservice/tkhzfd_3009_2281.zip
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/code-4048788/05dvWgmBpEluBRvh -p <Package> -c com.yvzn.yxpn.bwcqug.a.a.d.c -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
- cat /proc/version
- cat /sys/block/mmcblk0/device/cid
- getprop
- sh <Package Folder>/code-4048788/05dvWgmBpEluBRvh -p <Package> -c com.yvzn.yxpn.bwcqug.a.a.d.c -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
Загружает динамические библиотеки:
- cocos2dcpp
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- DES
- DES-CBC-PKCS5Padding
- DES-ECB-PKCS5PADDING
Может автоматически отправлять СМС-сообщения.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
