Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.613.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) cf.gdata####.net:80
- TCP(HTTP/1.1) rd.gdata####.net:80
Запросы DNS:
- and####.b####.qq.com
- cf.gdata####.net
- i####.api.zhifa####.net
- l####.i####.com
- p1.i####.cc
- pay.9####.com
- plb####.u####.com
- rd.gdata####.net
- sm####.hej####.com
- u####.u####.com
- v####.api.eeric####.com
Запросы HTTP POST:
- rd.gdata####.net/config/update
- rd.gdata####.net/dc/sync_adr
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- <Package Folder>/app_lmstwh/####/com.lmstwh.sfu.pls.apk
- <Package Folder>/app_wyzf_plg/5.2.0.jar
- <Package Folder>/databases/.fb
- <Package Folder>/databases/.fb-journal
- <Package Folder>/databases/347781996620052-journal
- <Package Folder>/databases/bugly_db_legu-journal
- <Package Folder>/databases/dataeye_database_B8D0BC5E6C3F5866685...791.db
- <Package Folder>/databases/dataeye_database_B8D0BC5E6C3F5866685...ournal
- <Package Folder>/databases/ua.db
- <Package Folder>/databases/ua.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/####/a==7.4.0&&1.2_1513336504481_envelope.log
- <Package Folder>/files/####/d==7.4.0&&1.2_1513336504584_envelope.log
- <Package Folder>/files/####/exchangeIdentity.json
- <Package Folder>/files/####/i==1.2.0&&1.2_1513336501720_envelope.log
- <Package Folder>/files/####/onib_clz.jar
- <Package Folder>/files/cp_block_201.dat
- <Package Folder>/files/exid.dat
- <Package Folder>/files/libyunsvc
- <Package Folder>/files/local_crash_lock
- <Package Folder>/files/native_record_lock
- <Package Folder>/files/second_block_201.dat
- <Package Folder>/files/security_info
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/files/yl_plugin.apk
- <Package Folder>/mix.dex
- <Package Folder>/shared_prefs/<Package>.xml
- <Package Folder>/shared_prefs/LANG_SDK_PREF.xml
- <Package Folder>/shared_prefs/UM_PROBE_DATA.xml
- <Package Folder>/shared_prefs/c2A5k0j0r2c636g9q981h8y7A7d443.xml
- <Package Folder>/shared_prefs/dc.B8D0BC5E6C3F58666853DDF7607407...es.xml
- <Package Folder>/shared_prefs/info.xml
- <Package Folder>/shared_prefs/shareyuanlangfirst.xml
- <Package Folder>/shared_prefs/sp_name_config20682227.xml
- <Package Folder>/shared_prefs/um_pri.xml
- <Package Folder>/shared_prefs/umeng_common_config.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/uuid.xml
- <Package Folder>/shared_prefs/wyzf_config20682227.xml
- <Package Folder>/shared_prefs/yunchao_sp.xml
- <Package Folder>/shared_prefs/yunchao_sp.xml.bak
- <Package Folder>/tx_shell/libnfix.so
- <Package Folder>/tx_shell/libshella-2.10.7.1.so
- <Package Folder>/tx_shell/libufix.so
- <SD-Card>/.SystemService/####/2D7F07BB6125DEB407E92A22DC4AC550
- <SD-Card>/.SystemService/####/uid
- <SD-Card>/com/####/uid.sys
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
- /system/bin/sh
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- cat /proc/cpuinfo
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-2.10.7.1.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- chmod 755 <Package Folder>/files/libyunsvc
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
- ls -l /sbin/su
- ls -l /system/bin/su
- ls -l /system/sbin/su
- ls -l /system/xbin/su
- ls -l /vendor/bin/su
- ls /
- ls /sys/class/thermal
- sh
Загружает динамические библиотеки:
- Bugly
- cocos2dlua
- libnfix
- libshella-2.10.7.1
- libufix
- nfix
- ufix
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
