Техническая информация
Вредоносные функции:
Отправляет СМС-сообщения:
- 106575206321505460: dyl#null,<IMEI>,6000341-1-147-p265701-0
- 10691009: @8DYL#null,<IMEI>,6000341-1-147-p265701-0
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(GCM) <Google Host>
- TCP(HTTP/1.1) 1####.159.180.48:8090
- TCP(HTTP/1.1) v####.api.eeric####.com:80
- TCP(HTTP/1.1) sdk.api.zhifa####.net:10201
- TCP(HTTP/1.1) www.huangda####.com:80
- TCP(HTTP/1.1) i####.api.zhifa####.net:10001
- TCP(HTTP/1.1) l####.i####.cc:80
- TCP(HTTP/1.1) bus####.yy####.com:80
- TCP(HTTP/1.1) 1####.159.152.136:8090
- TCP(HTTP/1.1) sms.yy####.com:80
- TCP(HTTP/1.1) s####.hzzr####.com:80
- TCP(HTTP/1.1) 1####.129.132.111:8001
- TCP(HTTP/1.1) gd.a.s####.com:80
- TCP(HTTP/1.1) s####.z####.cn:80
- TCP(HTTP/1.1) p1.i####.cc:80
- TCP(HTTP/1.1) i####.api.zhifa####.net:10002
- TCP(HTTP/1.1) c####.api.zhifa####.net:10101
- TCP(HTTP/1.1) i####.api.zhifa####.net:10003
- TCP(TLS/1.0) s####.wgest####.com:443
Запросы DNS:
- bus####.yy####.com
- c####.api.zhifa####.net
- col####.yy####.com
- i####.api.zhifa####.net
- i####.api.zhifa####.net
- l####.i####.cc
- p1.i####.cc
- pv.s####.com
- re####.api.zhifa####.net
- s####.hzzr####.com
- s####.wgest####.com
- s####.z####.cn
- sdk.api.zhifa####.net
- sms.yy####.com
- v####.api.eeric####.com
- www.huangda####.com
Запросы HTTP GET:
- s####.hzzr####.com/SdkNotity.aspx?i=####&v=####&c=####&av=####&dm=####&t...
- s####.z####.cn/getconfig.aspx?
- www.huangda####.com/active!activeLog.action?provider=####&clickId=####&m...
- www.huangda####.com/payres!getResource.action?resTypes=####&appid=####&c...
Запросы HTTP POST:
- bus####.yy####.com/business-analysis-cmp/zhuabao/needCatch.do
- bus####.yy####.com/pay-data-collect/collectAppStartUserData.json
- bus####.yy####.com/pay-data-collect/uploadChannelNormalData.json
- c####.api.zhifa####.net:10101/v2/splog/config?app_id=####&t=####
- i####.api.zhifa####.net:10001/v2/sdk/init?app_id=####&t=####
- i####.api.zhifa####.net:10001/v2/update/check?app_id=####&t=####
- i####.api.zhifa####.net:10002/v2/sdk/init?app_id=####&t=####
- i####.api.zhifa####.net:10003/v2/chis
- l####.i####.cc/index.php/MC/HB
- l####.i####.cc/index.php/MC/LP
- l####.i####.cc/index.php/MC/RP
- sdk.api.zhifa####.net:10201/v2/sdk/order?app_id=####&t=####
- sms.yy####.com/pay-sms-access//getAccessPayChannel.json
- v####.api.eeric####.com/api/payment/updateinit_v2
- www.huangda####.com/shop/shop_upload_log
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/app_Wyzf_plg/5.0.9.jar
- <Package Folder>/app_wyzf_plg/5.2.0.jar
- <Package Folder>/buck.conf
- <Package Folder>/databases/####/cc.db
- <Package Folder>/databases/####/cc.db-journal
- <Package Folder>/databases/347781996620052-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/databases/wochi_v4.db-journal
- <Package Folder>/files/####/onib_clz.jar
- <Package Folder>/files/pay
- <Package Folder>/files/pay.jar
- <Package Folder>/lock.txt
- <Package Folder>/shared_prefs/<Package>.xml
- <Package Folder>/shared_prefs/MGTVCommon.xml
- <Package Folder>/shared_prefs/SP_REPLACE_CLASSLOADER_CLASS_NAME.xml
- <Package Folder>/shared_prefs/config50225.xml
- <Package Folder>/shared_prefs/config50225.xml.bak
- <Package Folder>/shared_prefs/r2f5y0i012164639k9p138g727s403.xml
- <Package Folder>/shared_prefs/r2f5y0i012164639k9p138g727s403.xml.bak
- <Package Folder>/shared_prefs/sp_name_config20554507.xml
- <Package Folder>/shared_prefs/sp_name_config20554507.xml.bak
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/wb.xml
- <Package Folder>/shared_prefs/wb.xml.bak
- <Package Folder>/shared_prefs/wpspay.xml
- <Package Folder>/shared_prefs/wyzf_config20554507.xml
- <Package Folder>/shared_prefs/wyzf_config20554507.xml.bak
- <Package Folder>/shared_prefs/wyzf_config20647207.xml
- <Package Folder>/shared_prefs/wyzf_config20647207.xml.bak
Другие:
Запускает следующие shell-скрипты:
- cat /proc/version
- cat /sys/block/mmcblk0/device/cid
- getprop ro.build.product
- getprop ro.product.board
- getprop ro.product.brand
- getprop ro.product.device
- getprop ro.product.model
- sh -c cat /proc/cpuinfo
- sh -c cat /proc/tty/drivers
- sh -c cat /proc/version
- sh -c ggetprop ro.hardware
Загружает динамические библиотеки:
- buck
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- DES
- DES-CBC-PKCS5Padding
- DES-ECB-PKCS5PADDING
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Осуществляет доступ к информации об отправленых/принятых смс.
