Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.613.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) 1####.178.116.121:9999
- TCP(HTTP/1.1) 1####.55.89.238:8977
- TCP(HTTP/1.1) gdv.a.s####.com:80
- TCP(HTTP/1.1) 1####.129.132.111:8001
- TCP(HTTP/???) 1####.178.116.121:9999
Запросы DNS:
- a####.u####.com
- col####.hahay####.com
- i####.api.eji####.com
- oc.u####.com
- pv.s####.com
- re####.api.eji####.com
- sms.hahay####.com
Запросы HTTP GET:
- gdv.a.s####.com/cityjson?ie=####
Запросы HTTP POST:
- a####.u####.com/app_logs
- oc.u####.com/v2/check_config_update
- oc.u####.com/v2/get_update_time
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.fb
- /data/data/####/.fb-journal
- /data/data/####/.imprint
- /data/data/####/17061345-72761.stacktrace
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/classes.jar
- /data/data/####/crash-1526454248191.log
- /data/data/####/crash-1526454302599.log
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/hunt.conf
- /data/data/####/jmsdk.dat.xml
- /data/data/####/onib_clz.jar
- /data/data/####/onlineconfig_agent_online_setting_com.pOR.llr.xml
- /data/data/####/plus.jar
- /data/data/####/pz_sharedpre_cmreaderlogininfo.xml
- /data/data/####/recordInfo-journal
- /data/data/####/sy_pay_config.xml
- /data/data/####/sy_pay_record-journal
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/version.dat.xml
- /data/data/####/webview.db-journal
- /data/data/####/zzconfig.xml
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/sysid.dat
Другие:
Запускает следующие shell-скрипты:
- cat /proc/version
- getprop ro.build.product
- getprop ro.product.board
- getprop ro.product.brand
- getprop ro.product.device
- getprop ro.product.model
- sh -c cat /proc/cpuinfo
- sh -c cat /proc/tty/drivers
- sh -c ggetprop ro.hardware
- zniu -c id
Загружает динамические библиотеки:
- cocos2dcpp
- hunt
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS7Padding
- DES
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
