Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.600.origin
- Android.SmsSend.1848.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 1####.159.180.48:8090
- TCP(HTTP/1.1) sms.yy####.com:80
- TCP(HTTP/1.1) bus####.yy####.com:80
- TCP(HTTP/1.1) 1####.159.152.136:8090
- TCP(HTTP/1.1) cdn.dl.91m####.com:80
- TCP(HTTP/1.1) 88####.net:88
- TCP(HTTP/1.1) gd.a.s####.com:80
- TCP(HTTP/1.1) 1####.159.103.205:8090
- TCP(HTTP/1.1) re####.api.zhifa####.net:10002
- TCP(HTTP/1.1) p1.i####.cc:80
- TCP(HTTP/1.1) int.d####.s####.####.cn:80
- TCP(HTTP/1.1) c####.api.zhifa####.net:10101
- TCP(HTTP/1.1) pay.91m####.com:80
- TCP(HTTP/1.1) col####.yy####.com:80
- TCP(HTTP/1.1) re####.api.zhifa####.net:10001
- TCP(HTTP/1.1) i####.api.zhifa####.net:10003
- TCP(HTTP/1.1) a.cs####.top:8090
- TCP(HTTP/1.1) i89####.net:8888
- TCP b####.mtu####.com:8090
Запросы DNS:
- 88####.net
- a.cs####.top
- b####.mtu####.com
- bus####.yy####.com
- c####.api.zhifa####.net
- cdn.dl.91m####.com
- col####.yy####.com
- i####.api.zhifa####.net
- i####.api.zhifa####.net
- i89####.net
- int.d####.s####.####.cn
- l####.i####.cc
- p1.i####.cc
- pay.91m####.com
- pv.s####.com
- re####.api.zhifa####.net
- sms.yy####.com
- www.huangda####.com
Запросы HTTP GET:
- 88####.net:88/game/cof.do?k=####
- a.cs####.top:8090/phoneget?cpid=####&ismi=####&calltime=####&callcount=#...
- cdn.dl.91m####.com/20180123/tongyu-pay-lib-2175.apk
- gd.a.s####.com/cityjson?ie=####
- i89####.net:8888/catfee/time.do
- int.d####.s####.####.cn/iplookup/iplookup.php?format=####
Запросы HTTP POST:
- bus####.yy####.com/business-analysis-cmp/zhuabao/needCatch.do
- c####.api.zhifa####.net:10101/v2/splog/config?app_id=####&t=####
- col####.yy####.com/pay-data-collect/collectAppStartUserData.json
- col####.yy####.com/pay-data-collect/uploadChannelNormalData.json
- i####.api.zhifa####.net:10003/v2/chis
- i89####.net:8888/catfee/day.do
- i89####.net:8888/catfee/open.do
- i89####.net:8888/catfee/phone3.do
- p1.i####.cc/index.php/MC/HB
- p1.i####.cc/index.php/MC/LP
- pay.91m####.com/sdkMis/init-submit
- pay.91m####.com/sdkMis/sdk-update
- re####.api.zhifa####.net:10001/v2/sdk/init?app_id=####&t=####
- re####.api.zhifa####.net:10001/v2/update/check?app_id=####&t=####
- re####.api.zhifa####.net:10002/v2/sdk/init?app_id=####&t=####
- sms.yy####.com/pay-sms-access//getAccessPayChannel.json
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- <Package Folder>/.cache/classes.dex
- <Package Folder>/.cache/classes.dve
- <Package Folder>/.cache/classes.jar
- <Package Folder>/.edata
- <Package Folder>/app_Wyzf_plg/5.0.9.jar
- <Package Folder>/app_tongyu/####/tongyu-pay-lib.apk
- <Package Folder>/com.secneo.tmp2041
- <Package Folder>/com.secneo.tmp2079
- <Package Folder>/com.secneo.tmp2201
- <Package Folder>/com.secneo.tmp2289
- <Package Folder>/com.secneo.tmp2406
- <Package Folder>/com.secneo.tmp2541
- <Package Folder>/com.secneo.tmp2623
- <Package Folder>/databases/####/cc.db
- <Package Folder>/databases/####/cc.db-journal
- <Package Folder>/databases/347781996620052-journal
- <Package Folder>/databases/game_data.db-journal
- <Package Folder>/databases/sy_pay_record-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/mobclick_agent_cached_<Package>7575
- <Package Folder>/files/pay
- <Package Folder>/files/pay.jar
- <Package Folder>/pspace/nexor.jar
- <Package Folder>/pspace/prim.jar
- <Package Folder>/shared_prefs/SP_REPLACE_CLASSLOADER_CLASS_NAME.xml
- <Package Folder>/shared_prefs/b_setting.xml
- <Package Folder>/shared_prefs/b_share.xml
- <Package Folder>/shared_prefs/brand.xml
- <Package Folder>/shared_prefs/config50113.xml
- <Package Folder>/shared_prefs/constant_ecd.xml
- <Package Folder>/shared_prefs/constant_version.xml
- <Package Folder>/shared_prefs/delay.xml
- <Package Folder>/shared_prefs/ma_call.xml
- <Package Folder>/shared_prefs/ma_call.xml.bak
- <Package Folder>/shared_prefs/ma_data.xml
- <Package Folder>/shared_prefs/ma_epay_share.xml
- <Package Folder>/shared_prefs/ma_phone.xml
- <Package Folder>/shared_prefs/nnt_data.xml
- <Package Folder>/shared_prefs/o2m5j030E226x679z9q1o8w7m7r4d3.xml
- <Package Folder>/shared_prefs/pretw.xml
- <Package Folder>/shared_prefs/randHouse.xml
- <Package Folder>/shared_prefs/sleep.xml
- <Package Folder>/shared_prefs/twc.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/wpspay.xml
- <Package Folder>/shared_prefs/wyzf_config20647207.xml
- <SD-Card>/gooogle/userid.cfg
Другие:
Запускает следующие shell-скрипты:
- cat /proc/version
- cat /sys/block/mmcblk0/device/cid
- cat /sys/class/net/wlan0/address
Загружает динамические библиотеки:
- SecShell
- gdx
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DES
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS5Padding
- DES
- DES-ECB-PKCS5PADDING
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Осуществляет доступ к информации о входящих/исходящих звонках.
Осуществляет доступ к информации об отправленых/принятых смс.
