Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.SmsSend.1848.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
Запросы DNS:
- a####.u####.com
- a.cs####.top
- b####.mtu####.com
- gv1.x####.com
- i####.api.bi####.net
- i####.cn.com
- mt####.go####.com
- pg.x####.com
- v####.api.eeric####.com
- www.huangda####.com
- www.m####.com
- www.quanzh####.com
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/databases/sms_db
- <Package Folder>/databases/sms_db-journal
- <Package Folder>/databases/talkingdata_app.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/####/baidu
- <Package Folder>/files/####/exchangeIdentity.json
- <Package Folder>/files/####/qz
- <Package Folder>/files/libexec.so
- <Package Folder>/files/mj.apk
- <Package Folder>/files/mobclick_agent_cached_<Package>14
- <Package Folder>/files/pay.jar
- <Package Folder>/files/pay.md
- <Package Folder>/files/talkingdata_app_process_preferences_file
- <Package Folder>/files/talkingdata_app_version_preferences_file
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/pspace/nexor.jar
- <Package Folder>/pspace/prim.jar
- <Package Folder>/shared_prefs/3ba5f3a2f670f4efc58830b85c6731f81...le.xml
- <Package Folder>/shared_prefs/TD_app_pefercen_profile.xml
- <Package Folder>/shared_prefs/b_setting.xml
- <Package Folder>/shared_prefs/b_share.xml
- <Package Folder>/shared_prefs/ma_call.xml
- <Package Folder>/shared_prefs/ma_data.xml
- <Package Folder>/shared_prefs/ma_epay_share.xml
- <Package Folder>/shared_prefs/nnt_data.xml
- <Package Folder>/shared_prefs/pref_file.xml
- <Package Folder>/shared_prefs/pref_file.xml.bak
- <Package Folder>/shared_prefs/pref_file.xml.bak (deleted)
- <Package Folder>/shared_prefs/pretw.xml
- <Package Folder>/shared_prefs/sdk.xml
- <Package Folder>/shared_prefs/share_ecd.xml
- <Package Folder>/shared_prefs/share_version.xml
- <Package Folder>/shared_prefs/shared_file.xml
- <Package Folder>/shared_prefs/td_pefercen_profile.xml
- <Package Folder>/shared_prefs/tdid.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml.bak (deleted)
- <Package Folder>/shared_prefs/wyzf_config20049507.xml
- <SD-Card>/.exit
- <SD-Card>/.tcookieid
- <SD-Card>/.twservice/####/tw
- <SD-Card>/.twservice/qshp_3001_2292.zip
- <SD-Card>/CrashLog/WyyyCrashLog_20171013190919_2336.log
Другие:
Запускает следующие shell-скрипты:
- cat /sys/block/mmcblk0/device/cid
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- game
- libexec
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации о входящих/исходящих звонках.
Осуществляет доступ к информации об отправленых/принятых смс.
