Техническая информация
Вредоносные функции:
Отправляет СМС-сообщения:
- 106575206321505460: dyl#null,<IMEI>,6000122-1-1-a91483049-0
- 10691009: @8DYL#null,<IMEI>,6000122-1-1-a91483049-0
Загружает на исполнение код следующих детектируемых угроз:
- Android.Spy.205.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(GCM) <Google Host>
- TCP(HTTP/1.1) i####.api.eji####.com:10003
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) www.huangda####.com:80
- TCP(HTTP/1.1) gd.a.s####.com:80
- TCP(HTTP/1.1) 1####.129.132.111:8001
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) 1####.178.116.121:9999
- TCP(HTTP/1.1) wap.cm####.com:80
- TCP(HTTP/1.1) re####.api.eji####.com:10002
- TCP(HTTP/1.1) 1####.55.89.238:8977
Запросы DNS:
- a####.u####.com
- col####.hahay####.com
- i####.api.eji####.com
- mo####.hahay####.com
- oc.u####.com
- pv.s####.com
- re####.api.eji####.com
- sms.hahay####.com
- wap.cm####.com
- www.huangda####.com
Запросы HTTP GET:
- re####.api.eji####.com:10002/v1/sdk/init?net_name=####&imei=####&package...
- wap.cm####.com/r/p/js.jsp
- www.huangda####.com/active!activeLog.action?provider=####&clickId=####&m...
- www.huangda####.com/resource!resource?resTypes=####&appid=####&channel=#...
Запросы HTTP POST:
- i####.api.eji####.com:10003/v2/chis
- oc.u####.com/v2/check_config_update
- oc.u####.com/v2/get_update_time
- www.huangda####.com/resource!plugUpdate
- www.huangda####.com/shop/shop_upload_log
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/app_dexlm/classes.jar
- <Package Folder>/cache/####/crash-1501849934913.log
- <Package Folder>/cache/####/crash-1501849953525.log
- <Package Folder>/cache/####/crash-1501849958869.log
- <Package Folder>/cache/####/crash-1501849971631.log
- <Package Folder>/cache/####/crash-1501849984416.log
- <Package Folder>/databases/.fb
- <Package Folder>/databases/.fb-journal
- <Package Folder>/databases/cc.db
- <Package Folder>/databases/cc.db-journal
- <Package Folder>/databases/recordInfo-journal
- <Package Folder>/databases/sy_pay_record-journal
- <Package Folder>/databases/ua.db
- <Package Folder>/databases/ua.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/####/exchangeIdentity.json
- <Package Folder>/files/####/onib_clz.jar
- <Package Folder>/files/####/plus.jar
- <Package Folder>/files/.imprint
- <Package Folder>/files/1.0.1-16451.stacktrace
- <Package Folder>/files/1.0.1-5513.stacktrace
- <Package Folder>/files/exid.dat
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/hunt.conf
- <Package Folder>/shared_prefs/Alvin2.xml
- <Package Folder>/shared_prefs/ContextData.xml
- <Package Folder>/shared_prefs/jmsdk.dat.xml
- <Package Folder>/shared_prefs/onlineconfig_agent_online_setting...e>.xml
- <Package Folder>/shared_prefs/pretw.xml
- <Package Folder>/shared_prefs/pz_sharedpre_cmreaderlogininfo.xml
- <Package Folder>/shared_prefs/sy_pay_config.xml
- <Package Folder>/shared_prefs/sy_pay_config.xml.bak
- <Package Folder>/shared_prefs/tpservices.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/version.dat.xml
- <Package Folder>/shared_prefs/zzconfig.xml
- <SD-Card>/.DataStorage/ContextData.xml
- <SD-Card>/.UTSystemConfig/####/Alvin2.xml
- <SD-Card>/.tpservice/####/qsha_80001_5096.jar
- <SD-Card>/.twservice/####/tw
- <SD-Card>/.twservice/qshp_3003_2272.zip
- <SD-Card>/CrashLog/WyyyCrashLog_20170804123233_2359.log
- <SD-Card>/CrashLog/WyyyCrashLog_20170804123304_2916.log
Другие:
Запускает следующие shell-скрипты:
- cat /proc/version
- cat /sys/block/mmcblk0/device/cid
- getprop ro.build.product
- getprop ro.product.board
- getprop ro.product.brand
- getprop ro.product.device
- getprop ro.product.model
- sh -c cat /proc/cpuinfo
- sh -c cat /proc/tty/drivers
- sh -c ggetprop ro.hardware
- zniu -c id
Загружает динамические библиотеки:
- cocos2dcpp
- hunt
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS7Padding
- DES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
