Android.Packed.33003

Техническая информация

Вредоносные функции:

Загружает на исполнение код следующих детектируемых угроз:

Android.SkyMobi.6.origin
Android.Triada.155.origin

Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).

Изменения в файловой системе:

Создает следующие файлы:

<Package Folder>/app_apCoreplugn/####/res-20160928-218-NewServer-NoHY.bin
<Package Folder>/app_apCoreplugn/sm.apk
<Package Folder>/app_apCoreplugn/smaip.apk
<Package Folder>/app_apCoreplugn/smt.apk
<Package Folder>/app_apCoreplugn/sn.apk
<Package Folder>/app_libs/iyoupay.so
<Package Folder>/app_plugin_dir/####/base-1.apk
<Package Folder>/app_plugin_dir/####/base-1.dex
<Package Folder>/app_temp/iyoupay.so
<Package Folder>/app_workbench31242/apk.zip
<Package Folder>/app_workbench36768/apk.zip
<Package Folder>/app_workbench36994/apk.zip
<Package Folder>/app_workbench81508/apk.zip
<Package Folder>/app_workbench87034/apk.zip
<Package Folder>/cache/1509121765922.apk
<Package Folder>/cache/1509121766173.apk
<Package Folder>/cache/1509121766358.apk
<Package Folder>/cache/1509121766427.apk
<Package Folder>/code-5151688/VMMIKzeHX6qcUnJC
<Package Folder>/databases/Data_sync.db-journal
<Package Folder>/databases/UWoaf4Na6D0ryhtjllFCEpQYqhq0wS7Votog...ournal
<Package Folder>/databases/com.souying.pay.plugmain_sy_pay_record-journal
<Package Folder>/databases/recordInfo-journal
<Package Folder>/databases/sy_pay_record-journal
<Package Folder>/files/####/0EELTtiRYnlztoPiEK3GWEUCFb4=
<Package Folder>/files/####/100300062711-171027
<Package Folder>/files/####/3y5aHyIjTdaSjxKMClYcyvuZWYPk6Ne3.new
<Package Folder>/files/####/51mD_5s1CNsYFgsUPZfV06lUbXrAq_id.new
<Package Folder>/files/####/5MXPc8dQha_G_VLzn8fg-Q==.new
<Package Folder>/files/####/7KonY6jjBUqwZo1ULshh9nj5_nQljfIq1_S...0=.new
<Package Folder>/files/####/8-EEID8pkMXCs2AOatgml2ZkG-6Z-dd9.new
<Package Folder>/files/####/8Sea-rSSG29nMGflzECmkA==.new
<Package Folder>/files/####/ABhGnx-2dNN6JVrc.zip
<Package Folder>/files/####/Fdp9ah6HnqHut0arld5Iu0vLPpF1cgZjY1a7Fw==.new
<Package Folder>/files/####/KX3FzP_llKbfJn830ajRbp1fDnLuHRn5lG-...4=.new
<Package Folder>/files/####/KayKK676Tj_zbKV_yfNsGQ==.new
<Package Folder>/files/####/Mwtc8c3nsLBZw7G-PjHS0BkQUZLh4Rp8.new
<Package Folder>/files/####/PI8oIa1XhYIAvWAjlv5kCMcm1hCCvN2UWVO3Jg==.new
<Package Folder>/files/####/Wp_1Ti-MeFG02VYPR9uRXZMu7Fk=.new
<Package Folder>/files/####/ZHWFWAIXcTvQr4KF
<Package Folder>/files/####/ZQE4tFbmaRXk3r6xEGb5R0EWjk6edhxn.new
<Package Folder>/files/####/bII0nW9i5PX38UBDUHquAw==
<Package Folder>/files/####/bxqooVKWFhHoUB1ngowrCJ_3AX-rD4Jn.new
<Package Folder>/files/####/data.dat.tmp
<Package Folder>/files/####/dgAxjkgUJoD0czHHcIg3uA==.new
<Package Folder>/files/####/exchangeIdentity.json
<Package Folder>/files/####/izDx-sZi4NhmKWEchIybdSaGHHI=.new
<Package Folder>/files/####/jN1vf6F-D3QOYfHPuQjcanijJh5pUzY-.new
<Package Folder>/files/####/lVJ83zSh6XisKVX9jsZi9qCZR6nErJ2D.new
<Package Folder>/files/####/pODAgl0--1tM3pnm64XJED74jxY=.new
<Package Folder>/files/####/runner_info.prop.new
<Package Folder>/files/####/tffaq_f.zip
<Package Folder>/files/####/xBoVosD0vV0ScxxMZqoVVQMgD98=.new
<Package Folder>/files/####/xuUpandJ3gsGoKuecmKkywmJ9zjVZN12bYzw6g==
<Package Folder>/files/####/yG9dDjrA6JH2TGu-L1bhr6smv-z70EpU4mdjDw==.new
<Package Folder>/files/DownloadBillingList_100300062711_0000133...nanaly
<Package Folder>/files/classes.dex
<Package Folder>/files/defrayPriority100300062711<IMSI>.dat
<Package Folder>/files/libexec.so
<Package Folder>/files/libexecmain.so
<Package Folder>/files/mobclick_agent_cached_<Package>2842
<Package Folder>/files/rdata.new
<Package Folder>/files/umeng_it.cache
<Package Folder>/shared_prefs/Cocos2dxPrefsFile.xml
<Package Folder>/shared_prefs/com.souying.pay.xml
<Package Folder>/shared_prefs/iyouypay.xml
<Package Folder>/shared_prefs/plugin_record_app_info.xml
<Package Folder>/shared_prefs/plugins.installed.xml
<Package Folder>/shared_prefs/plugins.serviceMapping.xml
<Package Folder>/shared_prefs/pref_recomm.xml
<Package Folder>/shared_prefs/sy_pay_config.xml
<Package Folder>/shared_prefs/umeng_general_config.xml
<SD-Card>/.armsd/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
<SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
<SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
<SD-Card>/.armsd/####/MP8MtaBuguN9jnuSwtN1kQ==
<SD-Card>/.armsd/####/r_pkDgN4OhnkSa0D
<SD-Card>/Android/####/.nomedia
<SD-Card>/Android/####/com.skymobi.pay.plugin.main.data
<SD-Card>/Android/####/com.skymobi.pay.plugin.recordupload.data
<SD-Card>/Android/####/com.skymobi.pay.plugin.smspay.data
<SD-Card>/crash/####/crash-1509121765747.log
<SD-Card>/iyou/####/iyoupay_data.jar

Другие:

Запускает следующие shell-скрипты:

<Package Folder>/code-5151688/VMMIKzeHX6qcUnJC <Package> com.asfaka.aspapa.vfraaa.a.a.c.b /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M /storage/emulated/0/Download/ladung
cat /proc/version
chmod 666 /storage/emulated/0/Android/data/com.skymobi.pay.newsdk/plugins/com.skymobi.pay.plugin.main.data
chmod 666 /storage/emulated/0/Android/data/com.skymobi.pay.newsdk/plugins/com.skymobi.pay.plugin.recordupload.data
chmod 666 /storage/emulated/0/Android/data/com.skymobi.pay.newsdk/plugins/com.skymobi.pay.plugin.smspay.data
getprop ro.product.cpu.abi

Загружает динамические библиотеки:

cocos2dcpp
iyoupay
libexec
libexecmain
zimon

Использует специальную библиотеку для скрытия исполняемого байткода.

Осуществляет доступ к информации о геолокации.

Осуществляет доступ к информации о сети.

Осуществляет доступ к информации о телефоне (номер, imei и тд.).

Осуществляет доступ к информации об установленных приложениях.

Осуществляет доступ к информации о запущенных приложениях.

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Парсит информацию из смс сообщений.

Осуществляет доступ к информации о входящих/исходящих звонках.

Осуществляет доступ к информации об отправленых/принятых смс.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней