Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Mixi.16.origin
- Android.Mixi.32.origin
- Android.SmsSend.1848.origin
- Android.SmsSend.1939.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) rt.hm####.com:80
- TCP(HTTP/1.1) gp.lik####.com:80
- TCP(HTTP/1.1) co####.in####.com:80
- TCP(HTTP/1.1) api.zhuo####.com:80
- TCP(HTTP/1.1) gpup####.b0.a####.com:80
- TCP(HTTP/1.1) gp.miaoxi####.com:80
- TCP(HTTP/1.1) gpup####.min####.com:80
- TCP(HTTP/1.1) pm.zhuo####.com:80
- TCP(HTTP/1.1) a.cs####.top:8090
- TCP(TLS/1.0) s####.w.in####.com:443
Запросы DNS:
- a.cs####.top
- api.a####.z####.com
- api.zhuo####.com
- b####.mtu####.com
- c####.superma####.top
- c-h####.g####.com
- co####.in####.com
- gp.lik####.com
- gp.miaoxi####.com
- gpup####.min####.com
- mt####.go####.com
- pm.zhuo####.com
- rt.hm####.com
- s####.w.in####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- sh.penc####.com
- sm####.hej####.com
- v####.api.eeric####.com
Запросы HTTP GET:
- a.cs####.top:8090/getdata?cpid=####&packagename=####
- a.cs####.top:8090/phoneget?cpid=####&ismi=####&calltime=####&callcount=#...
- api.zhuo####.com/Api/UnifiedAccess?PBindKey=####&data=ey####
- gp.lik####.com/cr/sv/getRltNew?eid=####&estatus=####&appkey=####&pid=###...
- gpup####.b0.a####.com/cr/sdk/170417/goplaysdk_statistics_all_1704171.dat
Запросы HTTP POST:
- co####.in####.com/config-server/v1/config/secure.cfg
- gp.lik####.com/cr/sv/getEPList
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/app_mdex/abc.zip
- <Package Folder>/app_mdex/classes.dex
- <Package Folder>/app_ob_dx/nexor.dex
- <Package Folder>/app_ob_dx/prim.dex
- <Package Folder>/app_optimizedDirectory/classes.dex
- <Package Folder>/app_wyzf_plg/5.2.0.dex
- <Package Folder>/app_wyzf_plg/5.2.0.jar
- <Package Folder>/databases/MA_epay_db
- <Package Folder>/databases/MA_epay_db-journal
- <Package Folder>/databases/bil_db
- <Package Folder>/databases/bil_db-journal
- <Package Folder>/databases/com.im_7.0.0.db
- <Package Folder>/databases/com.im_7.0.0.db-journal
- <Package Folder>/databases/pushext.db-journal
- <Package Folder>/databases/pushg.db-journal
- <Package Folder>/databases/pushsdk.db-journal
- <Package Folder>/databases/xUtils_http_cookie.db
- <Package Folder>/databases/xUtils_http_cookie.db-journal
- <Package Folder>/files/####/.md
- <Package Folder>/files/####/00DAE9B2B363EBFEF57E467B09E87FC7
- <Package Folder>/files/####/2BB41D9F2348C91154C0A0597BC1F607
- <Package Folder>/files/####/59375CE4F7869BA593F0F70D34028321
- <Package Folder>/files/####/5beautyparkourguonei2<System Property>46
- <Package Folder>/files/####/7E8D0A8305B6A1ABFADB3F66C65A4464
- <Package Folder>/files/####/8200E355529BA8CE392E3AF50B8DE1E8
- <Package Folder>/files/####/9A2DCF2CF8A38CFAE1C451BF95A57A48
- <Package Folder>/files/####/<Package>12<System Property>2
- <Package Folder>/files/####/B401EFE665B4B61F636195567D685F8B
- <Package Folder>/files/####/D14BAEE8C25E5ADFF87F272ACA2A48F4
- <Package Folder>/files/####/DFF031636EE9D69870C873216CDBBD7C
- <Package Folder>/files/####/gpdu
- <Package Folder>/files/####/ntmp20682197
- <Package Folder>/files/####/ntmp23252362
- <Package Folder>/files/####/ntmp25682581
- <Package Folder>/files/####/test
- <Package Folder>/files/1512057409291_libneo32.so
- <Package Folder>/files/1512057434870_libneo32.so
- <Package Folder>/files/1512057463401_libneo32.so
- <Package Folder>/files/1805.jar
- <Package Folder>/files/408.jar
- <Package Folder>/files/421.jar
- <Package Folder>/files/430.jar
- <Package Folder>/files/610.jar
- <Package Folder>/files/611.jar
- <Package Folder>/files/617.jar
- <Package Folder>/files/640.jar
- <Package Folder>/files/806.jar
- <Package Folder>/files/<System Property>112.dex (deleted)
- <Package Folder>/files/<System Property>112.jar
- <Package Folder>/files/gdaemon_20161017
- <Package Folder>/files/hftJcw46N.dex (deleted)
- <Package Folder>/files/hftJcw46N.jar
- <Package Folder>/files/init.pid
- <Package Folder>/files/init_c1.pid
- <Package Folder>/files/push.pid
- <Package Folder>/files/run.pid
- <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s
- <Package Folder>/pspace/nexor.jar
- <Package Folder>/pspace/prim.jar
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/shared_prefs/ZYASDKPOIEJMFKL##@!!!.xml
- <Package Folder>/shared_prefs/b_setting.xml
- <Package Folder>/shared_prefs/b_share.xml
- <Package Folder>/shared_prefs/com.im.keyValueStore.aes_key_store.xml
- <Package Folder>/shared_prefs/com.im.keyValueStore.config_store.xml
- <Package Folder>/shared_prefs/com.im.keyValueStore.sdk_version_store.xml
- <Package Folder>/shared_prefs/constant_ecd.xml
- <Package Folder>/shared_prefs/constant_version.xml
- <Package Folder>/shared_prefs/getui_sp.xml
- <Package Folder>/shared_prefs/ma_call.xml
- <Package Folder>/shared_prefs/ma_data.xml
- <Package Folder>/shared_prefs/ma_epay_share.xml
- <Package Folder>/shared_prefs/ma_phone.xml
- <Package Folder>/shared_prefs/ma_phone.xml.bak
- <Package Folder>/shared_prefs/nnt_data.xml
- <Package Folder>/shared_prefs/sp_name_configcom.wyzfpay.plugin.d.g.xml
- <Package Folder>/shared_prefs/vbz.xml
- <Package Folder>/shared_prefs/wyzf_config20077513.xml
- <SD-Card>/gooogle/userid.cfg
- <SD-Card>/llc/####/20171130AdRequest
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/.play/test <Package Folder>/files/.play/ 9d051a7f5ce243ccaa3a5a10e8d24c4e
- <Package Folder>/files/gdaemon_20161017 0 <Package>/com.igexin.sdk.PushService 26367 300 0
- <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s -h 9d051a7f5ce243ccaa3a5a10e8d24c4e <Package Folder>/.syslib-
- chmod 0771 <Package Folder>/.syslib-
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 770 <Package Folder>/files/.play/test
- getenforce
- rm -f <Package Folder>/files/hftJcw46N.dex
- rm -f <Package Folder>/files/hftJcw46N.jar
- rm -f <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s
- rm <Package Folder>/files/hftJcw46N.dex
- rm <Package Folder>/files/hftJcw46N.jar
- rm <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s
- sh -c /system/usr/toolbox rm -f <Package Folder>/files/hftJcw46N.dex > /dev/null 2>&1
- sh -c /system/usr/toolbox rm -f <Package Folder>/files/hftJcw46N.jar > /dev/null 2>&1
- sh -c /system/usr/toolbox rm -f <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s > /dev/null 2>&1
- sh -c rm <Package Folder>/files/hftJcw46N.dex > /dev/null 2>&1
- sh -c rm <Package Folder>/files/hftJcw46N.jar > /dev/null 2>&1
- sh -c rm <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s > /dev/null 2>&1
- sh -c rm -f <Package Folder>/files/hftJcw46N.dex > /dev/null 2>&1
- sh -c rm -f <Package Folder>/files/hftJcw46N.jar > /dev/null 2>&1
- sh -c rm -f <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s > /dev/null 2>&1
- sh <Package Folder>/files/.play/test <Package Folder>/files/.play/ 9d051a7f5ce243ccaa3a5a10e8d24c4e
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/com.igexin.sdk.PushService 26367 300 0
- sh <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s -h 9d051a7f5ce243ccaa3a5a10e8d24c4e <Package Folder>/.syslib-
Загружает динамические библиотеки:
- 1512057409291_libneo32
- 1512057434870_libneo32
- 1512057463401_libneo32
- cocos2dcpp
- com_zhuoyian_beautyparkourguonei
- getuiext2
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации о входящих/исходящих звонках.
Осуществляет доступ к информации об отправленых/принятых смс.
