Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.SmsSend.1848.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- a####.####.top
- b####.####.cn
- g####.####.com
- i####.####.com
- lua####.####.com
- re####.####.com
- v####.####.com
Запросы HTTP GET:
- a####.####.top:8090/phoneget?cpid=####&ismi=####&calltime=####&callcount...
- lua####.####.com/xxset.txt
- re####.####.com:10002/v1/sdk/init?net_name=####&imei=####&package_name=#...
- v####.####.com/fileupload/a6cd5e6e690baa9d.jar
Запросы HTTP POST:
- i####.####.com:10003/v2/chis
- v####.####.com/api/payment/mobileInit.html
- v####.####.com/api/payment/updateInit
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/app_Wyzf_plg/wyzf_plg_5.0.8.jar
- <Package Folder>/databases/.fb
- <Package Folder>/databases/.fb-journal
- <Package Folder>/databases/MA_epay_db
- <Package Folder>/databases/MA_epay_db-journal
- <Package Folder>/databases/bil_db
- <Package Folder>/databases/bil_db-journal
- <Package Folder>/databases/smspay20481163.db
- <Package Folder>/databases/smspay20481163.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/####/onib_clz.jar
- <Package Folder>/files/####/plus.jar
- <Package Folder>/pspace/nexor.jar
- <Package Folder>/pspace/prim.jar
- <Package Folder>/shared_prefs/b_setting.xml
- <Package Folder>/shared_prefs/b_share.xml
- <Package Folder>/shared_prefs/ma_call.xml
- <Package Folder>/shared_prefs/ma_data.xml
- <Package Folder>/shared_prefs/ma_epay_share.xml
- <Package Folder>/shared_prefs/nnt_data.xml
- <Package Folder>/shared_prefs/share_ecd.xml
- <Package Folder>/shared_prefs/share_version.xml
- <Package Folder>/shared_prefs/sp_name_config20481163.xml
- <Package Folder>/shared_prefs/wyzf_config20481163.xml
- <Package Folder>/shared_prefs/wyzf_config20481163.xml.bak
- <Package Folder>/shared_prefs/zzconfig.xml
- <SD-Card>/.tpservice/####/qsha_80001_5096.jar
- <SD-Card>/.twservice/qshp_3003_2274.zip
Другие:
Загружает динамические библиотеки:
- cocos2dcpp
Использует следующие алгоритмы для шифрования данных:
- DES
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- DES
- DES-CBC-PKCS5Padding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации о входящих/исходящих звонках.
Осуществляет доступ к информации об отправленых/принятых смс.
