Техническая информация
Вредоносные функции:
Отправляет СМС-сообщения:
- 106575206321505460: dyl#null,<IMEI>,6000230-1-0-a10011-0
- 10691009: @8DYL#null,<IMEI>,6000230-1-0-a10011-0
- 12114516410: YIPAY#ee50a24edc53b218d95e67611e760549#<IMSI>
Перекрывает экран собственным окном, блокируя доступ к графическому интерфейсу.
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Перехватывает входящие смс и прекращает процесс их передачи обработчикам других приложений.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google Host>
- TCP(Google Services) <Google Host>
- TCP(Google Services) <Google Host>
- TCP(HTTP/1.1) i####.cn.com:80
- TCP(HTTP/1.1) i####.api.eji####.com:10003
- TCP(HTTP/1.1) pg.x####.com:80
- TCP(HTTP/1.1) gd.a.s####.com:80
- TCP(HTTP/1.1) ut####.cn:8080
- TCP(HTTP/1.1) sdk.api.eji####.com:10201
- TCP(HTTP/1.1) re####.api.eji####.com:10002
- TCP(HTTP/1.1) 1####.27.154.102:1234
- TCP(HTTP/1.1) 1####.29.97.128:8010
- TCP(HTTP/1.1) pay####.oss-cn-####.aliy####.com:80
- TCP(HTTP/1.1) s####.hzzr####.com:80
- TCP(HTTP/1.1) c####.api.eji####.com:10101
- TCP(HTTP/1.1) x####.d####.top:20006
- TCP(HTTP/1.1) v####.api.eeric####.com:80
- TCP(HTTP/1.1) wap.cm####.com:80
- TCP(HTTP/1.1) sm####.hej####.com:80
- TCP(HTTP/1.1) sdk.hzzr####.com:80
- TCP(HTTP/1.1) fde38e1####.d####.top:20006
- TCP(HTTP/1.1) www.huangda####.com:80
- TCP(HTTP/1.1) cid.r####.cn:80
- TCP(HTTP/1.1) 1####.129.132.111:8001
- TCP(TLS/1.1) ga.x####.com:443
Запросы DNS:
- c####.api.eji####.com
- cid.r####.cn
- fde38e1####.d####.top
- ga.x####.com
- i####.api.eji####.com
- i####.cn.com
- mt####.go####.com
- pay####.oss-cn-####.aliy####.com
- pg.x####.com
- pv.s####.com
- re####.api.eji####.com
- s####.hzzr####.com
- sdk.api.eji####.com
- sdk.hzzr####.com
- sm####.hej####.com
- ut####.cn
- v####.api.eeric####.com
- wap.cm####.com
- www.huangda####.com
- x####.d####.top
Запросы HTTP GET:
- c####.api.eji####.com:10101/v1/order/get?app_vername=####&phone=####&rea...
- i####.cn.com/a/3521668acb8d3a1a04964513d0f7eb368
- pay####.oss-cn-####.aliy####.com/sdk/jar/6eae8eace5624b669d40f73ac6a7d46...
- re####.api.eji####.com:10002/v1/sdk/init?net_name=####&imei=####&package...
- s####.hzzr####.com/SdkNotity.aspx?i=####&v=####&c=####&av=####&dm=####&t...
- sdk.api.eji####.com:10201/v1/sdk/report?sdk_type=####&sdk_status=####&tr...
- sdk.hzzr####.com/GetFeeData.aspx
- sdk.hzzr####.com/getconfig.aspx
- sdk.hzzr####.com/getjar.aspx?pno=####
- sdk.hzzr####.com/versioncheck.aspx
- sm####.hej####.com/getSP135.php?appName=####&productName=####&mobile=###...
- wap.cm####.com/r/l/v.jsp?bid=####
- www.huangda####.com/active!activeLog.action?provider=####&clickId=####&m...
- www.huangda####.com/resource!resource?resTypes=####&appid=####&channel=#...
Запросы HTTP POST:
- cid.r####.cn/api3
- fde38e1####.d####.top:20006/SmsPayServer/sms/initMobile/province?
- i####.api.eji####.com:10003/v2/chis
- pg.x####.com/api/q/a/3521668acb8d3a1a04964513d0f7eb368
- s####.hzzr####.com/SdkNotity.aspx?i=####&v=####&c=####&av=####&dm=####&t...
- ut####.cn:8080/excalibur/avalon/sdk/init.aspx
- ut####.cn:8080/excalibur/avalon/sdk/pay.aspx
- ut####.cn:8080/excalibur/avalon/sdk/queryResult.aspx
- v####.api.eeric####.com/api/payment/mobileInit.html
- v####.api.eeric####.com/api/payment/updateinit_v2
- www.huangda####.com/resource!plugUpdate
- www.huangda####.com/shop/shop_upload_log
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/app_dex/utopay.jar
- <Package Folder>/app_dex/utopay_close.png
- <Package Folder>/app_dex/utopay_icon.gif
- <Package Folder>/app_wyzf_plg/5.2.0.jar
- <Package Folder>/databases/####/cc.db
- <Package Folder>/databases/####/cc.db-journal
- <Package Folder>/databases/.fb
- <Package Folder>/databases/.fb-journal
- <Package Folder>/databases/mpush_game.db-journal
- <Package Folder>/databases/msg_com.wyzfpay.plugin.dao.DBOpenHel...ournal
- <Package Folder>/databases/msg_com.wyzfpay.plugin.dao.DBOpenHelper.db
- <Package Folder>/databases/utopay.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/databases/wochi_v4.db-journal
- <Package Folder>/files/annoy.jar
- <Package Folder>/files/log.txt
- <Package Folder>/files/mobclick_agent_cached_<Package>0
- <Package Folder>/files/mpush_gateway_preferences_file
- <Package Folder>/files/mpush_version_preferences_file
- <Package Folder>/files/plugin.jar
- <Package Folder>/shared_prefs/3521668acb8d3a1a04964513d0f7eb368...le.xml
- <Package Folder>/shared_prefs/<Package>.xml
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/shared_prefs/<Package>_preferences.xml.bak
- <Package Folder>/shared_prefs/Cocos2dxPrefsFile.xml
- <Package Folder>/shared_prefs/TD_app_pefercen_profile.xml
- <Package Folder>/shared_prefs/TD_app_pefercen_profile.xml.bak
- <Package Folder>/shared_prefs/has.xml
- <Package Folder>/shared_prefs/jy_sdk_pe_info.xml
- <Package Folder>/shared_prefs/pref_file.xml
- <Package Folder>/shared_prefs/pref_file.xml.bak
- <Package Folder>/shared_prefs/pretw.xml
- <Package Folder>/shared_prefs/pretw.xml.bak
- <Package Folder>/shared_prefs/pz_sharedpre_cmreaderlogininfo.xml
- <Package Folder>/shared_prefs/smsJx_v4.xml
- <Package Folder>/shared_prefs/sp_name_config20121381.xml
- <Package Folder>/shared_prefs/sp_name_config20121381.xml.bak
- <Package Folder>/shared_prefs/td_pefercen_profile.xml
- <Package Folder>/shared_prefs/td_pefercen_profile.xml.bak
- <Package Folder>/shared_prefs/tdid.xml
- <Package Folder>/shared_prefs/tpservices.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml.bak
- <Package Folder>/shared_prefs/umeng_general_config.xml.bak (deleted)
- <Package Folder>/shared_prefs/wyzf_config20121381.xml
- <Package Folder>/shared_prefs/wyzf_config20121381.xml.bak
- <Package Folder>/shared_prefs/zzconfig.xml
- <SD-Card>/.tcookieid
- <SD-Card>/.tpservice/####/qsha_80001_5096.jar
- <SD-Card>/.twservice/####/tw
- <SD-Card>/.twservice/qshp_3003_2274.zip
- <SD-Card>/JYMM/####/jypaysdk_V1116dex.jar
- <SD-Card>/exit
Другие:
Запускает следующие shell-скрипты:
- cat /sys/block/mmcblk0/device/cid
- cat /sys/class/net/wlan0/address
- getprop apps.customerservice.device
Загружает динамические библиотеки:
- cocos2dcpp
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- DES
- DES-CBC-PKCS5Padding
Может автоматически отправлять СМС-сообщения.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
