Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.613.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Перехватывает входящие смс и прекращает процесс их передачи обработчикам других приложений.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) pay####.oss-cn-####.aliy####.com:80
- TCP(HTTP/1.1) 1####.159.180.48:8090
- TCP(HTTP/1.1) x####.d####.top:20006
- TCP(HTTP/1.1) 1####.75.56.106:10201
- TCP(HTTP/1.1) v####.a####.eeric####.com:80
- TCP(HTTP/1.1) v####.api.eeric####.com:80
- TCP(HTTP/1.1) sm####.hej####.com:80
- TCP(HTTP/1.1) sdk.api.zhifa####.net:10201
- TCP(HTTP/1.1) sdk.hzzr####.com:80
- TCP(HTTP/1.1) 1####.159.152.136:8090
- TCP(HTTP/1.1) s####.hzzr####.com:80
- TCP(HTTP/1.1) 1####.206.227.63:80
- TCP(HTTP/1.1) i####.api.zhifa####.net:10001
- TCP(HTTP/1.1) wn.zhifa####.net.####.net:80
- TCP(HTTP/1.1) c####.api.zhifa####.net:10101
- TCP(HTTP/1.1) int.d####.s####.####.cn:80
- TCP(HTTP/1.1) i####.api.zhifa####.net:10002
- TCP(HTTP/1.1) gdv.a.s####.com:80
- TCP(HTTP/1.1) 1####.129.132.111:8001
- TCP(HTTP/1.1) i####.api.zhifa####.net:10003
Запросы DNS:
- c####.api.zhifa####.net
- i####.api.zhifa####.net
- i####.api.zhifa####.net
- int.d####.s####.####.cn
- pay####.oss-cn-####.aliy####.com
- pv.s####.com
- re####.api.zhifa####.net
- s####.hzzr####.com
- sdk.api.zhifa####.net
- sdk.hzzr####.com
- sm####.hej####.com
- v####.a####.eeric####.com
- v####.api.eeric####.com
- wn.zhifa####.net
- www.huangda####.com
- x####.d####.top
Запросы HTTP GET:
- gdv.a.s####.com/cityjson?ie=####
- int.d####.s####.####.cn/iplookup/iplookup.php?format=####&ip=####
- pay####.oss-cn-####.aliy####.com/sdk/jar/e00e23acc8724bca841961181e1ea70...
- s####.hzzr####.com/SdkNotity.aspx?i=####&v=####&c=####&av=####&dm=####&t...
- sdk.hzzr####.com/getconfig.aspx
- sdk.hzzr####.com/getjar.aspx?pno=####
- sdk.hzzr####.com/versioncheck.aspx
- sm####.hej####.com/getAd.php?apiKey=####&imsi=####&mobile=####&apiKey=##...
- sm####.hej####.com/getError.php?echoName=####&error=####&hKey=####&OS=##...
- sm####.hej####.com/getMobile.php?apiKey=####&imsi=####&n####&n####
- sm####.hej####.com/getSP135.php?echoName=####&appName=####&productName=#...
- v####.a####.eeric####.com/fileupload/e00ac1690539a0b6.jar
- wn.zhifa####.net.####.net/update/up010363_66
- x####.d####.top:20006/SmsPayServer/sdkUpdate/index?
Запросы HTTP POST:
- c####.api.zhifa####.net:10101/v2/order/get?app_id=####&t=####
- c####.api.zhifa####.net:10101/v2/splog/config?app_id=####&t=####
- i####.api.zhifa####.net:10001/v2/adconfig/get?app_id=####&t=####
- i####.api.zhifa####.net:10001/v2/bag/monitor?app_id=####&t=####
- i####.api.zhifa####.net:10001/v2/sdk/init?app_id=####&t=####
- i####.api.zhifa####.net:10001/v2/update/check?app_id=####&t=####
- i####.api.zhifa####.net:10002/v2/callback/message?app_id=####&t=####
- i####.api.zhifa####.net:10003/v2/chis
- sdk.api.zhifa####.net:10201/v2/sdk/report?app_id=####&t=####
- v####.api.eeric####.com/api/payment/mobileInit.html
- v####.api.eeric####.com/api/payment/payDynamic.html
- v####.api.eeric####.com/api/payment/updateinit_v2
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.fb
- /data/data/####/.fb-journal
- /data/data/####/SP_REPLACE_CLASSLOADER_CLASS_NAME.xml
- /data/data/####/SP_REPLACE_CLASSLOADER_CLASS_NAME.xml.bak
- /data/data/####/config50240.xml
- /data/data/####/jy_hot_sdk_config.xml
- /data/data/####/new_md.jar
- /data/data/####/onib_clz.jar
- /data/data/####/pay_plg.dex (deleted)
- /data/data/####/pay_plg.jar
- /data/data/####/pretw.xml
- /data/data/####/pz_sharedpre_cmreaderlogininfo.xml
- /data/data/####/qjv.rajj940.gdv878.com.pay.db.DBHelper_smspay.db-journal
- /data/data/####/qjv.rajj940.gdv878.xml
- /data/data/####/up010363_66
- /data/data/####/up010363_66.jar
- /data/data/####/up010363_66.jar (deleted)
- /data/data/####/webview.db-journal
- /data/data/####/wochi_v4.db-journal
- /data/media/####/jypaysdk.apk
- /data/media/####/qjv.rajj940.gdv878_250026699187743_20180415_pay.log
- /data/media/####/qshp_3003_2296.zip
- /data/media/####/tw
Другие:
Запускает следующие shell-скрипты:
- cat /sys/block/mmcblk0/device/cid
Загружает динамические библиотеки:
- cocos2dcpp
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5PADDING
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS5PADDING
- AES-CBC-PKCS5Padding
- DES
- DES-CBC-PKCS5Padding
Может автоматически отправлять СМС-сообщения.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
