Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.613.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Перехватывает входящие смс и прекращает процесс их передачи обработчикам других приложений.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) sms.yy####.com:80
- TCP(HTTP/1.1) re####.api.bi####.net:10001
- TCP(HTTP/1.1) v####.a####.eeric####.com:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
- TCP(HTTP/1.1) bus####.yy####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) 1####.206.232.108:10003
- TCP(HTTP/1.1) gd.a.s####.com:80
- TCP(HTTP/1.1) 1####.178.116.121:9999
- TCP(HTTP/1.1) p1.i####.cc:80
- TCP(HTTP/1.1) v####.api.eeric####.com:80
- TCP(HTTP/1.1) www.xx####.com:8080
- TCP(HTTP/1.1) col####.yy####.com:80
- TCP(HTTP/1.1) i####.api.bi####.net:10003
- TCP(HTTP/1.1) 1####.55.89.238:8977
- TCP(HTTP/1.1) re####.api.bi####.net:10002
- TCP(HTTP/1.1) 1####.199.9.227:80
- TCP(HTTP/1.1) 1####.129.132.111:8001
Запросы DNS:
- a####.u####.com
- aexcep####.b####.qq.com
- and####.b####.qq.com
- bus####.yy####.com
- col####.yy####.com
- i####.api.bi####.net
- i####.api.bi####.net
- oc.u####.com
- p1.i####.cc
- pv.s####.com
- re####.api.bi####.net
- sms.yy####.com
- v####.a####.eeric####.com
- v####.api.eeric####.com
- www.huangda####.com
- www.xx####.com
Запросы HTTP GET:
- gd.a.s####.com/cityjson?ie=####
- re####.api.bi####.net:10001/v1/update/check?user_id=####&app_id=####&cha...
- re####.api.bi####.net:10002/v1/log/add?userid=####&appid=####&channel=##...
- re####.api.bi####.net:10002/v1/sdk/init?net_name=####&imei=####&package_...
- v####.a####.eeric####.com/fileupload/00934f6c06dea89a.jar
Запросы HTTP POST:
- a####.u####.com/app_logs
- aexcep####.b####.qq.com:8012/rqd/async
- and####.b####.qq.com/rqd/async
- bus####.yy####.com/business-analysis-cmp/zhuabao/needCatch.do
- col####.yy####.com/pay-data-collect/collectAppStartUserData.json
- col####.yy####.com/pay-data-collect/uploadChannelNormalData.json
- i####.api.bi####.net:10003/v2/chis
- oc.u####.com/v2/check_config_update
- oc.u####.com/v2/get_update_time
- p1.i####.cc/index.php/MC/HB
- sms.yy####.com/pay-sms-access//getAccessPayChannel.json
- v####.api.eeric####.com/api/payment/mobileInit.html
- v####.api.eeric####.com/api/payment/updateInit
- www.xx####.com:8080/app/getAd
- www.xx####.com:8080/app/getConfig
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/app_Wyzf_plg/wyzf_plg_5.1.9.jar
- <Package Folder>/app_dexlm/classes.jar
- <Package Folder>/databases/MaiStore.db-journal
- <Package Folder>/databases/bugly_db_legu-journal
- <Package Folder>/databases/cc.db
- <Package Folder>/databases/cc.db-journal
- <Package Folder>/databases/sy_pay_record-journal
- <Package Folder>/databases/ua.db
- <Package Folder>/databases/ua.db-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/####/exchangeIdentity.json
- <Package Folder>/files/####/onib_clz.jar
- <Package Folder>/files/.imprint
- <Package Folder>/files/buck.conf
- <Package Folder>/files/exid.dat
- <Package Folder>/files/local_crash_lock
- <Package Folder>/files/native_record_lock
- <Package Folder>/files/pay.jar
- <Package Folder>/files/pay.md
- <Package Folder>/files/security_info
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/mix.dex
- <Package Folder>/shared_prefs/Alvin2.xml
- <Package Folder>/shared_prefs/CONFIG.xml
- <Package Folder>/shared_prefs/ContextData.xml
- <Package Folder>/shared_prefs/data.xml
- <Package Folder>/shared_prefs/data.xml.bak
- <Package Folder>/shared_prefs/jmsdk.dat.xml
- <Package Folder>/shared_prefs/onlineconfig_agent_online_setting...e>.xml
- <Package Folder>/shared_prefs/pretw.xml
- <Package Folder>/shared_prefs/pz_sharedpre_cmreaderlogininfo.xml
- <Package Folder>/shared_prefs/sdfgh.xml
- <Package Folder>/shared_prefs/share_data.xml
- <Package Folder>/shared_prefs/sp_name_configcom.wyzf.plugin.d.h.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml.bak (deleted)
- <Package Folder>/shared_prefs/version.dat.xml
- <Package Folder>/shared_prefs/wpspay.xml
- <Package Folder>/shared_prefs/wyzf_config20947461.xml
- <Package Folder>/tx_shell/libnfix.so
- <Package Folder>/tx_shell/libshella-2.10.5.9.so
- <SD-Card>/.DataStorage/ContextData.xml
- <SD-Card>/.UTSystemConfig/####/Alvin2.xml
- <SD-Card>/.exit
- <SD-Card>/.twservice/####/tw
- <SD-Card>/.twservice/qshp_3001_2278.zip
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- cat /proc/version
- cat /sys/block/mmcblk0/device/cid
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-2.10.5.9.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
Загружает динамические библиотеки:
- Bugly
- buck
- cocos2dcpp
- libnfix
- libshella-2.10.5.9
- libufix
- nfix
- ufix
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
