Техническая информация
Вредоносные функции:
Отправляет СМС-сообщения:
- 12114516410: YIPAY#f37efd4ab965d8c886f54918f4085c4c#<IMSI>
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.613.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) pay####.oss-cn-####.aliy####.com:80
- TCP(HTTP/1.1) 24ad800####.d####.top:20006
- TCP(HTTP/1.1) www.huangda####.com:80
- TCP(HTTP/1.1) v####.a####.eeric####.com:80
- TCP(HTTP/1.1) v####.api.eeric####.com:80
- TCP(HTTP/1.1) 1####.75.56.106:10201
- TCP(HTTP/1.1) sm####.hej####.com:80
- TCP(HTTP/1.1) cid.r####.cn:80
- TCP(HTTP/1.1) sdk.api.zhifa####.net:10201
- TCP(HTTP/1.1) 1####.206.227.63:80
- TCP(HTTP/1.1) i####.api.zhifa####.net:10001
- TCP(HTTP/1.1) wn.zhifa####.net.####.net:80
- TCP(HTTP/1.1) p1.i####.cc:80
- TCP(HTTP/1.1) int.d####.s####.####.cn:80
- TCP(HTTP/1.1) i####.api.zhifa####.net:10002
- TCP(HTTP/1.1) c####.api.zhifa####.net:10101
- TCP(HTTP/1.1) gdv.a.s####.com:80
- TCP(HTTP/1.1) 1####.129.132.111:8001
- TCP(HTTP/1.1) x####.d####.top:20006
- TCP(HTTP/1.1) i####.api.zhifa####.net:10003
Запросы DNS:
- 24ad800####.d####.top
- c####.api.zhifa####.net
- cid.r####.cn
- i####.api.zhifa####.net
- i####.api.zhifa####.net
- int.d####.s####.####.cn
- p1.i####.cc
- pay####.oss-cn-####.aliy####.com
- pv.s####.com
- re####.api.zhifa####.net
- sdk.api.zhifa####.net
- sm####.hej####.com
- v####.a####.eeric####.com
- v####.api.eeric####.com
- wn.zhifa####.net
- www.huangda####.com
- x####.d####.top
Запросы HTTP GET:
- gdv.a.s####.com/cityjson?ie=####
- int.d####.s####.####.cn/iplookup/iplookup.php?format=####&ip=####
- pay####.oss-cn-####.aliy####.com/sdk/jar/e00e23acc8724bca841961181e1ea70...
- sm####.hej####.com/getAd.php?apiKey=####&imsi=####&mobile=####&apiKey=##...
- sm####.hej####.com/getMobile.php?apiKey=####&imsi=####&n####&n####
- v####.a####.eeric####.com/fileupload/e00ac1690539a0b6.jar
- wn.zhifa####.net.####.net/update/up010363_66
- www.huangda####.com/active!activeLog.action?provider=####&clickId=####&m...
- www.huangda####.com/payres!getResource.action?resTypes=####&appid=####&c...
- x####.d####.top:20006/SmsPayServer/sdkUpdate/index?
Запросы HTTP POST:
- 24ad800####.d####.top:20006/SmsPayServer/sms/initMobile/province?
- c####.api.zhifa####.net:10101/v2/splog/config?app_id=####&t=####
- cid.r####.cn/api3
- i####.api.zhifa####.net:10001/v2/adconfig/get?app_id=####&t=####
- i####.api.zhifa####.net:10001/v2/bag/monitor?app_id=####&t=####
- i####.api.zhifa####.net:10001/v2/sdk/init?app_id=####&t=####
- i####.api.zhifa####.net:10001/v2/update/check?app_id=####&t=####
- i####.api.zhifa####.net:10002/v2/callback/message?app_id=####&t=####
- i####.api.zhifa####.net:10003/v2/chis
- p1.i####.cc/index.php/MC/HB
- sdk.api.zhifa####.net:10201/v2/sdk/report?app_id=####&t=####
- v####.api.eeric####.com/api/payment/mobileInit.html
- v####.api.eeric####.com/api/payment/updateinit_v2
- www.huangda####.com/shop/shop_upload_log
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.fb
- /data/data/####/.fb-journal
- /data/data/####/347781996620052-journal
- /data/data/####/SP_REPLACE_CLASSLOADER_CLASS_NAME.xml
- /data/data/####/config50240.xml
- /data/data/####/i2w5g0d0i2h656n9h9i1y8p7n724t3.xml
- /data/data/####/jy_hot_sdk_config.xml
- /data/data/####/jy_sdk_pe_info.xml
- /data/data/####/new_md.jar
- /data/data/####/onib_clz.jar
- /data/data/####/pay_plg.jar
- /data/data/####/pretw.xml
- /data/data/####/pz_sharedpre_cmreaderlogininfo.xml
- /data/data/####/up010363_66
- /data/data/####/up010363_66.jar
- /data/data/####/webview.db-journal
- /data/data/####/zrm.cltlg886.rejczb806.xml
- /data/media/####/jypaysdk.apk
- /data/media/####/qshp_3003_2296.zip
- /data/media/####/tw
- /data/media/####/zrm.cltlg886.rejczb806_250026699187743_20180428_pay.log
Другие:
Запускает следующие shell-скрипты:
- cat /sys/block/mmcblk0/device/cid
- getprop apps.customerservice.device
Загружает динамические библиотеки:
- cocos2dcpp
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5PADDING
- AES-CBC-PKCS5Padding
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS5PADDING
- AES-CBC-PKCS5Padding
- DES
- DES-CBC-PKCS5Padding
Может автоматически отправлять СМС-сообщения.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
