Техническая информация
Вредоносные функции:
Отправляет СМС-сообщения:
- 106912114: HZSY#<IMSI>
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.247.origin
- Android.Triada.248.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- 6####.####.140
- cser####.####.cn
- huangda####.com
- i####.####.com
- i####.####.net:10001
- l####.####.com
- s####.####.com
- u####.####.net
Запросы HTTP GET:
- 6####.####.140/ando/i/mon?k=####&d=####
- huangda####.com/active!activeLog.action?provider=####&clickId=####&manu=...
- i####.####.com/ando-res/ads/0/9/837ec120-ccf8-4ad0-b6fd-1303ff645eca/773...
- i####.####.net:10001/v1/update/check?user_id=####&app_id=####&channel_id...
- u####.####.net/update/pay073156.md
Запросы HTTP POST:
- cser####.####.cn/channel/paymentHandle.action?v=####&requestId=####
- l####.####.com/sdk.php
- s####.####.com/pay-data-collect/collectAppStartUserData.json
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/cache/####/crash-1501850197135.log
- <Package Folder>/cache/####/crash-1501850254197.log
- <Package Folder>/code-2100511/J5j4cGmmC_Zsq-xL
- <Package Folder>/databases/r-w2tTpnLAkYEId9dcki5HNvGYePRVnu_GUwlboKJEp0HiaJ6a6FPMQ==
- <Package Folder>/databases/r-w2tTpnLAkYEId9dcki5HNvGYePRVnu_GUwlboKJEp0HiaJ6a6FPMQ==-journal
- <Package Folder>/databases/r-w2tTpnLAkYEId9dcki5HNvGYePRVnu_HzTEIGdB3_s2fsJcvDBCmY0A-5Y=
- <Package Folder>/databases/r-w2tTpnLAkYEId9dcki5HNvGYePRVnu_HzTEIGdB3_s2fsJcvDBCmY0A-5Y=-journal
- <Package Folder>/databases/r-w2tTpnLAkYEId9dcki5HNvGYePRVnu_cctKMz2kR8C-bOLono1xzw==
- <Package Folder>/databases/r-w2tTpnLAkYEId9dcki5HNvGYePRVnu_cctKMz2kR8C-bOLono1xzw==-journal
- <Package Folder>/databases/r-w2tTpnLAkYEId9dcki5HNvGYePRVnu_fT3GCss6-Es=-journal
- <Package Folder>/databases/r-w2tTpnLAkYEId9dcki5HNvGYePRVnu_wNuCo3eqF7EQtsBO
- <Package Folder>/databases/r-w2tTpnLAkYEId9dcki5HNvGYePRVnu_wNuCo3eqF7EQtsBO-journal
- <Package Folder>/databases/recordInfo-journal
- <Package Folder>/databases/sy_pay_record-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/####/-3ZVJs5dnZ0WfA2CvX0VKg==
- <Package Folder>/files/####/-3ZVJs5dnZ0WfA2CvX0VKg==.new
- <Package Folder>/files/####/-7kqGgKrkXrMksYdZF8DAD5mQpo=
- <Package Folder>/files/####/-7kqGgKrkXrMksYdZF8DAD5mQpo=.new
- <Package Folder>/files/####/-7kqGgKrkXrMksYdZF8DAD5mQpo=.old (deleted)
- <Package Folder>/files/####/-yLtPzCjP8BBpN_m_KdjpMmGNBs=
- <Package Folder>/files/####/1501850197006_2119
- <Package Folder>/files/####/1501850197015_2119
- <Package Folder>/files/####/1501850197092_2119
- <Package Folder>/files/####/1501850197261_2119
- <Package Folder>/files/####/1501850254252_2258
- <Package Folder>/files/####/1501850254285_2258
- <Package Folder>/files/####/1NCrDWB9dO8ZATVIfsHI6pWCjEZjfVCa.new
- <Package Folder>/files/####/382228ba-1c1e-4f1d-b0a5-8037e16409f9.pic.temp
- <Package Folder>/files/####/3b-LAH0F3GaYAERpYh5C3uWHdfYBvelC.new
- <Package Folder>/files/####/7a22edc7-47c1-4b6f-b12e-7a65fd25c581.pic
- <Package Folder>/files/####/7b4a6809-d5be-4182-bdab-e49e4b782cff.pic.temp
- <Package Folder>/files/####/7fd76764-502c-4451-accb-98ae719d9666.pic.temp
- <Package Folder>/files/####/8qNYAGtW7FiFzVIZg8gWxjGOXu8=.new
- <Package Folder>/files/####/I3OmPnMUh4VvlbwgbLk6ww==.new
- <Package Folder>/files/####/LU0BIXyD_m20Jmyj2kJtkA==
- <Package Folder>/files/####/MaWzNsTWgWV5AfKGYHwKcH2dJcKjYfxX.new
- <Package Folder>/files/####/OSiOVApM9VI0zJda.new
- <Package Folder>/files/####/RUuXEem8-2Z9Xf5uvAGvTXfB8DTIMdLpHv82UjH1ZTE=.new
- <Package Folder>/files/####/U7y3sCYuqmVYx0BvUMmTVZAODvk=
- <Package Folder>/files/####/UGDiG1EIDaRNKWhjq8GBFQ==.new
- <Package Folder>/files/####/Wu7_GqClCpLnBawbkpa19A-OE7A=.temp
- <Package Folder>/files/####/YQotD6nJ0Odq0Gwj
- <Package Folder>/files/####/ZnS2vlL5duOJflv1-ik08Q==
- <Package Folder>/files/####/Zxflop1CVXG-acTYuJVy4lBmgxAvl9_b5FQkhQ==.new
- <Package Folder>/files/####/a3lbhitTQA0n49_TZkmCHSyQPzk=.new
- <Package Folder>/files/####/a6FclIqcM4zBieO_-h5s_w7q-HjDOXHM.new
- <Package Folder>/files/####/b4e6e875-19b9-4d2b-a654-904c226913fb.pic.temp
- <Package Folder>/files/####/c057fe19-f937-467c-9d48-ea87ef53b1d2.pic
- <Package Folder>/files/####/cxKtkTzItR81pzZabQ_O9fB-x2jzaMyt.new
- <Package Folder>/files/####/ed290611-9ede-4ff3-888e-c9505af4fb62.pic.temp
- <Package Folder>/files/####/fe8ff380-0e12-49a4-afa2-55f0591ebc57.pic.temp
- <Package Folder>/files/####/hbipuw_f.zip
- <Package Folder>/files/####/jhl4hM27sRzfFNaX.zip
- <Package Folder>/files/####/jnbTz6UKBW9nUv-dXLfterCpqQTYFq9iPbBE261CCAo=.new
- <Package Folder>/files/####/kxOAtxVjnG8EN4MQZTcbZcXc0a7AJsMmT04j0A==.new
- <Package Folder>/files/####/m8vue44w8Kp6GSKHam3YStCwErzVmTurLgHk-M4Wo-w=.new
- <Package Folder>/files/####/mqGmRGFvz0i1jofrsWcFE8kRKqI=.new
- <Package Folder>/files/####/runner_info.prop.new
- <Package Folder>/files/####/s7Rewdsoj3ohSr5FHA-CLvCuz93SiSWW.new
- <Package Folder>/files/####/ujQq0RLeydi55KD2nEDt09DOj-oQRzwzzP7xEg==.new
- <Package Folder>/files/####/x3o7evmhnKRk9EpHvY4Li_8x3geJR3Iqtlad0hcymX0=.new
- <Package Folder>/files/####/xI7xqLzQcl5EgHsZjJj7L6GMEwRcq9yB.new
- <Package Folder>/files/####/xIB6CWte8Ue6dvb7AcgEh9j3asc=.temp
- <Package Folder>/files/####/xJ6sZ025ejzDOkFLcRqIdXD0prjYPVpx
- <Package Folder>/files/####/xJ6sZ025ejzDOkFLcRqIdXD0prjYPVpx.new
- <Package Folder>/files/pay.jar
- <Package Folder>/files/pay.md
- <Package Folder>/files/rdata_comyvznyxpn
- <Package Folder>/files/rdata_comyvznyxpn.new
- <Package Folder>/files/yf.apk
- <Package Folder>/shared_prefs/3521668acb8d3a1a04964513d0f7eb368|account_file.xml
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/shared_prefs/TD_app_pefercen_profile.xml
- <Package Folder>/shared_prefs/TD_app_pefercen_profile.xml.bak
- <Package Folder>/shared_prefs/TDpref_game.xml
- <Package Folder>/shared_prefs/TDpref_longtime.xml
- <Package Folder>/shared_prefs/TDpref_longtime3.xml
- <Package Folder>/shared_prefs/TDpref_longtime3.xml.bak
- <Package Folder>/shared_prefs/TDpref_shorttime.xml
- <Package Folder>/shared_prefs/p_config.xml
- <Package Folder>/shared_prefs/pretw.xml
- <Package Folder>/shared_prefs/pretw.xml.bak
- <Package Folder>/shared_prefs/pretw6000050.xml
- <Package Folder>/shared_prefs/sdk.xml
- <Package Folder>/shared_prefs/sp_name_config20647207.xml
- <Package Folder>/shared_prefs/sp_name_config20647207.xml.bak
- <Package Folder>/shared_prefs/sy_pay_config.xml
- <Package Folder>/shared_prefs/sy_pay_config.xml.bak
- <Package Folder>/shared_prefs/tdid.xml
- <Package Folder>/shared_prefs/twc.xml
- <Package Folder>/shared_prefs/twc.xml.bak
- <Package Folder>/shared_prefs/wyzf_config20647207.xml
- <Package Folder>/shared_prefs/wyzf_config20647207.xml.bak
- <SD-Card>/.armsd/####/3f54be3e-f2dc-4de6-a68c-9521d7574c33.res
- <SD-Card>/.armsd/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
- <SD-Card>/.armsd/####/64be5b9a-456e-4bd8-ae11-45f2defb8d9b.res
- <SD-Card>/.armsd/####/6aa3a9e3-1af6-4ad9-b776-9fa1673a5846.res
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
- <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
- <SD-Card>/.armsd/####/MP8MtaBuguN9jnuSwtN1kQ==
- <SD-Card>/.armsd/####/d458941f-a51c-460a-880e-27d6a080079f.res
- <SD-Card>/.armsd/####/r_pkDgN4OhnkSa0D
- <SD-Card>/.env/.uunique.new
- <SD-Card>/.exit
- <SD-Card>/.tcookieid
- <SD-Card>/.twservice/####/tw
- <SD-Card>/.twservice/tkhzfd_3009_2281.zip
- <SD-Card>/CrashLog/WyyyCrashLog_20170804123734_2258.log
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/code-1339252/J5j4cGmmC_Zsq-xL -p <Package> -c com.yvzn.yxpn.bwcqug.a.a.d.c -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
- <Package Folder>/code-2100511/J5j4cGmmC_Zsq-xL -p <Package> -c com.yvzn.yxpn.bwcqug.a.a.d.c -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
- cat /proc/version
- cat /sys/block/mmcblk0/device/cid
- getprop
- sh <Package Folder>/code-2100511/J5j4cGmmC_Zsq-xL -p <Package> -c com.yvzn.yxpn.bwcqug.a.a.d.c -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
Загружает динамические библиотеки:
- cocos2dcpp
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- DES
- DES-CBC-PKCS5Padding
- DES-ECB-PKCS5PADDING
Может автоматически отправлять СМС-сообщения.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
