Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.SmsSend.1848.origin
- Android.Triada.236.origin
- Android.Triada.244
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) sms.yy####.com:80
- TCP(HTTP/1.1) v####.a####.eeric####.com:80
- TCP(HTTP/1.1) bus####.yy####.com:80
- TCP(HTTP/1.1) gd.a.s####.com:80
- TCP(HTTP/1.1) 1####.159.103.205:8090
- TCP(HTTP/1.1) wn.zhifa####.net.####.net:80
- TCP(HTTP/1.1) c####.api.zhifa####.net:10101
- TCP(HTTP/1.1) i####.api.zhifa####.net:10003
- TCP(HTTP/1.1) sdk.api.zhifa####.net:10201
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) a.cs####.top:8090
- TCP(HTTP/1.1) dev.pu####.com:80
- TCP(HTTP/1.1) 1####.159.180.48:8090
- TCP(HTTP/1.1) 1####.75.56.106:10201
- TCP(HTTP/1.1) l####.i####.com:9820
- TCP(HTTP/1.1) col####.yy####.com:80
- TCP(HTTP/1.1) re####.api.zhifa####.net:10001
- TCP(HTTP/1.1) 1####.159.152.136:8090
- TCP(HTTP/1.1) sdk.qipa####.cn:8088
- TCP(HTTP/1.1) v####.api.eeric####.com:80
- TCP(HTTP/1.1) re####.api.zhifa####.net:10002
- TCP(HTTP/1.1) gaand####.talking####.net:80
- TCP bg.vas####.cn:8090
Запросы DNS:
- a.cs####.top
- bg.vas####.cn
- bus####.yy####.com
- c####.api.zhifa####.net
- col####.yy####.com
- dev.pu####.com
- domai####.yya####.com
- gaand####.talking####.net
- i####.api.zhifa####.net
- i####.api.zhifa####.net
- l####.i####.com
- l####.i####.com
- pv.s####.com
- re####.api.zhifa####.net
- sdk.api.zhifa####.net
- sdk.qipa####.cn
- sms.yy####.com
- v####.a####.eeric####.com
- v####.api.eeric####.com
- wn.zhifa####.net
Запросы HTTP GET:
- a.cs####.top:8090/afee?cpid=####&appfee_id=####&fee=####&smsc=####&imsi=...
- a.cs####.top:8090/getdata?cpid=####&packagename=####
- a.cs####.top:8090/phoneget?cpid=####&ismi=####&calltime=####&callcount=#...
- gd.a.s####.com/cityjson?ie=####
- t####.c####.q####.####.com/cdn_domain_first.txt?v=####
- v####.a####.eeric####.com/fileupload/df55fb9c608c71fe.jar
- wn.zhifa####.net.####.net/update/up010363_66
Запросы HTTP POST:
- bus####.yy####.com/business-analysis-cmp/zhuabao/needCatch.do
- c####.api.zhifa####.net:10101/v2/splog/config?app_id=####&t=####
- col####.yy####.com/pay-data-collect/collectAppStartUserData.json
- col####.yy####.com/pay-data-collect/uploadChannelNormalData.json
- col####.yy####.com/pay-data-collect/uploadClientCrashLog.json
- dev.pu####.com/mvc/network/get_info.do
- gaand####.talking####.net/g/d?crc=####
- i####.api.zhifa####.net:10003/v2/chis
- l####.i####.com:9820/chnlt/ltpay/ckui.do
- l####.i####.com:9820/chnlt/ltpay/pytstart.do
- re####.api.zhifa####.net:10001/v2/adconfig/get?app_id=####&t=####
- re####.api.zhifa####.net:10001/v2/bag/monitor?app_id=####&t=####
- re####.api.zhifa####.net:10001/v2/update/check?app_id=####&t=####
- re####.api.zhifa####.net:10002/v2/callback/message?app_id=####&t=####
- re####.api.zhifa####.net:10002/v2/sdk/init?app_id=####&t=####
- sdk.api.zhifa####.net:10201/v2/sdk/report?app_id=####&t=####
- sdk.qipa####.cn:8088/a.do
- sms.yy####.com/pay-sms-access/getAccessPayChannel.json
- v####.api.eeric####.com/api/payment/mobileInit.html
- v####.api.eeric####.com/api/payment/updateinit_v2
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/app_gpls/ld.jar
- <Package Folder>/app_gpls/lg.apk
- <Package Folder>/app_lmstwh/####/com.lmstwh.sfu.pls.apk
- <Package Folder>/app_payload_lib/libwewrf358dc.so
- <Package Folder>/app_wyzf_plg/wyzf_plg_5.2.2.jar
- <Package Folder>/cache/####/crash-1512540012169.log
- <Package Folder>/cache/####/crash-1512540034781.log
- <Package Folder>/cache/####/crash-1512540062064.log
- <Package Folder>/databases/MA_epay_db
- <Package Folder>/databases/MA_epay_db-journal
- <Package Folder>/databases/bil_db
- <Package Folder>/databases/bil_db-journal
- <Package Folder>/databases/msg_com.wyzfpay.plugin.b.a.db
- <Package Folder>/databases/msg_com.wyzfpay.plugin.b.a.db-journal
- <Package Folder>/databases/sms_db
- <Package Folder>/databases/sms_db-journal
- <Package Folder>/databases/sy_pay_record-journal
- <Package Folder>/databases/webview.db-journal
- <Package Folder>/files/Plugin2.apk
- <Package Folder>/files/md.tmp
- <Package Folder>/files/new_md.jar
- <Package Folder>/files/up010363_66
- <Package Folder>/files/up010363_66.jar
- <Package Folder>/files/yf.apk
- <Package Folder>/files/yf.dex (deleted)
- <Package Folder>/pspace/nexor.jar
- <Package Folder>/pspace/prim.jar
- <Package Folder>/shared_prefs/3cff577985556567209c8fa8131303f63...le.xml
- <Package Folder>/shared_prefs/CDN_DOMAIN_CACHE.xml
- <Package Folder>/shared_prefs/INIT_PARAMS_CACHE.xml
- <Package Folder>/shared_prefs/SP_REPLACE_CLASSLOADER_CLASS_NAME.xml
- <Package Folder>/shared_prefs/abc.xml
- <Package Folder>/shared_prefs/appstartone.xml
- <Package Folder>/shared_prefs/b_setting.xml
- <Package Folder>/shared_prefs/b_share.xml
- <Package Folder>/shared_prefs/config50040.xml
- <Package Folder>/shared_prefs/ma_call.xml
- <Package Folder>/shared_prefs/ma_data.xml
- <Package Folder>/shared_prefs/ma_epay_share.xml
- <Package Folder>/shared_prefs/ma_phone.xml
- <Package Folder>/shared_prefs/nnt_data.xml
- <Package Folder>/shared_prefs/pref_file.xml
- <Package Folder>/shared_prefs/pref_file.xml.bak
- <Package Folder>/shared_prefs/pref_file.xml.bak (deleted)
- <Package Folder>/shared_prefs/share_ecd.xml
- <Package Folder>/shared_prefs/share_version.xml
- <Package Folder>/shared_prefs/sp_name_configcom.wyzfpay.plugin.d.g.xml
- <Package Folder>/shared_prefs/td_pefercen_profile.xml
- <Package Folder>/shared_prefs/tdid.xml
- <Package Folder>/shared_prefs/uuid.xml
- <Package Folder>/shared_prefs/wpspay.xml
- <Package Folder>/shared_prefs/wyzf_config20511746.xml
- <Package Folder>/shared_prefs/wyzf_config20511746.xml.bak
- <SD-Card>/.tcookieid
- <SD-Card>/com/####/uid.sys
- <SD-Card>/gooogle/userid.cfg
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /proc/cpuinfo
- cat /proc/version
- getprop
- service list
Загружает динамические библиотеки:
- glasd
- wewrf358dc
Использует следующие алгоритмы для шифрования данных:
- DES
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- DES
- DES-CBC-PKCS5Padding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации о входящих/исходящих звонках.
Осуществляет доступ к информации об отправленых/принятых смс.
