Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.613.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) v####.api.eeric####.com:80
- TCP(HTTP/1.1) v####.a####.eeric####.com:80
- TCP(HTTP/1.1) 1####.75.56.106:10201
- TCP(HTTP/1.1) sdk.api.zhifa####.net:10201
- TCP(HTTP/1.1) i####.api.zhifa####.net:10001
- TCP(HTTP/1.1) wn.zhifa####.net.####.net:80
- TCP(HTTP/1.1) c####.api.zhifa####.net:10101
- TCP(HTTP/1.1) i####.api.zhifa####.net:10002
- TCP(HTTP/1.1) gdv.a.s####.com:80
- TCP(TLS/1.0) 1####.217.17.142:443
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) p####.go####.com:443
- TCP(TLS/1.0) acco####.go####.com:443
- TCP(TLS/1.0) poli####.go####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) adser####.go####.com:443
Запросы DNS:
- acco####.go####.com
- adser####.go####.com
- c####.api.zhifa####.net
- f####.gst####.com
- i####.api.zhifa####.net
- i####.api.zhifa####.net
- p####.go####.com
- poli####.go####.com
- pv.s####.com
- re####.api.zhifa####.net
- sdk.api.zhifa####.net
- ssl.gst####.com
- v####.a####.eeric####.com
- v####.api.eeric####.com
- wn.zhifa####.net
- www.go####.com
- www.go####.nl
- www.google-####.com
- www.gst####.com
Запросы HTTP GET:
- gdv.a.s####.com/cityjson?ie=####
- v####.a####.eeric####.com/fileupload/e00ac1690539a0b6.jar
- wn.zhifa####.net.####.net/update/up010363_66
Запросы HTTP POST:
- c####.api.zhifa####.net:10101/v2/splog/config?app_id=####&t=####
- i####.api.zhifa####.net:10001/v2/sdk/init?app_id=####&t=####
- i####.api.zhifa####.net:10001/v2/update/check?app_id=####&t=####
- i####.api.zhifa####.net:10002/v2/callback/message?app_id=####&t=####
- i####.api.zhifa####.net:10002/v2/log/add?app_id=####&t=####
- sdk.api.zhifa####.net:10201/v2/sdk/report?app_id=####&t=####
- v####.api.eeric####.com/api/payment/mobileInit.html
- v####.api.eeric####.com/api/payment/updateinit_v2
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/SP_REPLACE_CLASSLOADER_CLASS_NAME.xml
- /data/data/####/config50240.xml
- /data/data/####/new_md.jar
- /data/data/####/onib_clz.jar
- /data/data/####/org.cocos2dxdd.MRun2.xml
- /data/data/####/pay_plg.jar
- /data/data/####/up010363_66
- /data/data/####/up010363_66.jar
- /data/media/####/org.cocos2dxdd.MRun2_250026699187743_20180415_pay.log
Другие:
Загружает динамические библиотеки:
- cocos2dcpp
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- DES
- DES-CBC-PKCS5Padding
Может автоматически отправлять СМС-сообщения.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
