Техническая информация
Вредоносные функции:
Отправляет СМС-сообщения:
- 106575206321505460: dyl#null,<IMEI>,6000315-1-20009-7_kh140s0001_-0
- 10691009: @8DYL#null,<IMEI>,6000315-1-20009-7_kh140s0001_-0
Отправляет данные получаемых СМС-сообщений на удалённый хост.
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(GCM) <Google Host>
- TCP(HTTP/1.1) www.huangda####.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) pay.jinming####.cn:80
- TCP(HTTP/1.1) p1.i####.cc:80
- TCP(HTTP/1.1) ad####.madac####.cn:80
- TCP(HTTP/1.1) y####.jinming####.cn:80
- TCP(HTTP/1.1) q####.madac####.cn:80
- TCP(HTTP/1.1) l####.i####.cc:80
- TCP(HTTP/1.1) sms.daz####.cn:80
- UDP(NTP) 2.and####.p####.####.org:123
- TCP(TLS/1.0) and####.cli####.go####.com:443
Запросы DNS:
- 2.and####.p####.####.org
- ad####.madac####.cn
- and####.cli####.go####.com
- col####.daz####.cn
- img.jinming####.cn
- l####.i####.cc
- mt####.go####.com
- ow9hp####.bkt.clo####.com
- p1.i####.cc
- pay.jinming####.cn
- q####.madac####.cn
- q####.maishan####.cn
- sms.daz####.cn
- www.huangda####.com
- y####.jinming####.cn
Запросы HTTP GET:
- www.huangda####.com/active!activeLog.action?provider=####&clickId=####&m...
- www.huangda####.com/payres!getResource.action?resTypes=####&appid=####&c...
Запросы HTTP POST:
- l####.i####.cc/index.php/MC/LP
- l####.i####.cc/index.php/MC/RP
- q####.madac####.cn/log-server/v2/clientLogs.service?md5=####&uploadTime=...
- sms.daz####.cn/pay-data-collect/collectAppStartUserData.json
- sms.daz####.cn/pay-data-collect/uploadChannelNormalData.json
- sms.daz####.cn/pay-sms-access//getAccessPayChannel.json
- sms.daz####.cn/pay-sms-access//uploadOpenPayOrderResult.json?
- sms.daz####.cn/pay-sms-access//uploadSmsDetailInfo.json?
- www.huangda####.com/mobilepay/v2/getPayInfoListX3.do
- www.huangda####.com/shop/shop_upload_log
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/cache/####/journal.tmp
- <Package Folder>/databases/76z6o2903055l2z-journal
- <Package Folder>/databases/sy_pay_record-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/shared_prefs/CONFIG.xml
- <Package Folder>/shared_prefs/common.xml
- <Package Folder>/shared_prefs/pretw.xml
- <Package Folder>/shared_prefs/pretw.xml.bak
- <Package Folder>/shared_prefs/pretw6000315.xml
- <Package Folder>/shared_prefs/uuid_reg.xml
- <Package Folder>/shared_prefs/wpspay.xml
- <Package Folder>/shared_prefs/yb_book.xml
- <Package Folder>/shared_prefs/z2l5503092o6z67939r1t8n7r7g4D3.xml
- <Package Folder>/shared_prefs/z2l5503092o6z67939r1t8n7r7g4D3.xml.bak
- <SD-Card>/.twservice/####/tw
- <SD-Card>/.twservice/qshp_3003_2284.zip
Другие:
Запускает следующие shell-скрипты:
- cat /proc/version
- cat /sys/block/mmcblk0/device/cid
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- DES
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
