Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.SmsSpy.677.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
- TCP(HTTP/1.1) and####.b####.qq.com:80
Запросы DNS:
- a####.b####.qq.com
- a####.u####.com
- aexcep####.b####.qq.com
- and####.b####.qq.com
- gv1.x####.com
- i####.cn.com
- mt####.go####.com
- pg.x####.com
- q####.qi1####.com
- z####.wann####.com
- zxc####.wann####.com
Запросы HTTP POST:
- aexcep####.b####.qq.com:8012/rqd/async?aid=####
- and####.b####.qq.com/rqd/async?aid=####
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/app_crashrecord/1004
- <Package Folder>/databases/bugly_db_-journal
- <Package Folder>/databases/cc.db
- <Package Folder>/databases/cc.db-journal
- <Package Folder>/databases/qy_db_pay-journal
- <Package Folder>/databases/talkingdata_app.db-journal
- <Package Folder>/databases/ua.db
- <Package Folder>/databases/ua.db-journal
- <Package Folder>/files/####/exchangeIdentity.json
- <Package Folder>/files/PaySDK-1.2.13.16-UR_yx.jar
- <Package Folder>/files/PaySDK-1.2.13.16-UR_yx.zip
- <Package Folder>/files/exid.dat
- <Package Folder>/files/getprop
- <Package Folder>/files/local_crash_lock
- <Package Folder>/files/native_record_lock
- <Package Folder>/files/process.jar
- <Package Folder>/files/process.zip
- <Package Folder>/files/security_info
- <Package Folder>/files/talkingdata_app_process_preferences_file
- <Package Folder>/files/talkingdata_app_version_preferences_file
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/shared_prefs/TD_app_pefercen_profile.xml
- <Package Folder>/shared_prefs/crashrecord.xml
- <Package Folder>/shared_prefs/pref_file.xml
- <Package Folder>/shared_prefs/td_pefercen_profile.xml
- <Package Folder>/shared_prefs/td_pefercen_profile.xml.bak
- <Package Folder>/shared_prefs/tdid.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/unknown.xml
- <SD-Card>/.Systemp/device
- <SD-Card>/.tcookieid
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop
- /system/bin/sh -c type su
- cat /sys/block/mmcblk0/device/cid
- getprop
- logcat -d -v threadtime
- ls -l /system/bin/su
- ps | grep <Package>
Загружает динамические библиотеки:
- Bugly
- cocos2dcpp
- libtools
- libzxvps
- process
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Осуществляет доступ к информации об отправленых/принятых смс.
