Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.SmsSend.1848.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) x####.ha####.com:80
- TCP(HTTP/1.1) sdk.api.qiazhiw####.cn:10201
- TCP(HTTP/1.1) sdk.api.qiazhiw####.cn:10001
- TCP(HTTP/1.1) i####.api.qiazhiw####.cn:10001
- TCP(HTTP/1.1) gdv.a.s####.com:80
- TCP(HTTP/1.1) 1####.129.132.111:8001
Запросы DNS:
- api.y####.com
- i####.api.qiazhiw####.cn
- i####.api.qiazhiw####.cn
- jx.ha####.com
- l####.i####.com
- pv.s####.com
- sdk.api.qiazhiw####.cn
- v####.api.eeric####.com
- x####.ha####.com
Запросы HTTP GET:
- gdv.a.s####.com/cityjson?ie=####
- x####.ha####.com/getjar.aspx?pno=####
Запросы HTTP POST:
- i####.api.qiazhiw####.cn:10001/v2/adconfig/get?app_id=####&t=####
- i####.api.qiazhiw####.cn:10001/v2/bag/monitor?app_id=####&t=####
- i####.api.qiazhiw####.cn:10001/v2/sdk/init?app_id=####&t=####
- i####.api.qiazhiw####.cn:10001/v2/update/check?app_id=####&t=####
- sdk.api.qiazhiw####.cn:10001/v2/adconfig/get?app_id=####&t=####
- sdk.api.qiazhiw####.cn:10001/v2/bag/monitor?app_id=####&t=####
- sdk.api.qiazhiw####.cn:10001/v2/sdk/init?app_id=####&t=####
- sdk.api.qiazhiw####.cn:10001/v2/update/check?app_id=####&t=####
- sdk.api.qiazhiw####.cn:10201/v2/sdk/report?app_id=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/3c1e0985093cceca4f16f5f8da551f103|account_file.xml
- /data/data/####/5.3.0.jar
- /data/data/####/MA_epay_db
- /data/data/####/MA_epay_db-journal
- /data/data/####/SP_REPLACE_CLASSLOADER_CLASS_NAME.xml
- /data/data/####/bil_db
- /data/data/####/bil_db-journal
- /data/data/####/com.dxfxdgf7u.fdrt4w43fg.xml
- /data/data/####/com.dxfxdgf7u.fdrt4w43fg.xml.bak (deleted)
- /data/data/####/config50040.xml
- /data/data/####/constantcd.xml
- /data/data/####/ld.jar
- /data/data/####/lg.apk
- /data/data/####/libtsree2asfs.so
- /data/data/####/ma_call.xml
- /data/data/####/ma_data.xml
- /data/data/####/new_md.jar
- /data/data/####/newfoq.jar
- /data/data/####/nnt_data.xml
- /data/data/####/pack.txt
- /data/data/####/pref_file.xml
- /data/data/####/pref_file.xml.bak (deleted)
- /data/data/####/sp_name_configcom.yf.y.f.init.plugin.util.SPUtil.xml
- /data/data/####/td_pefercen_profile.xml
- /data/data/####/tdid.xml
- /data/data/####/uuid.xml
- /data/data/####/webview.db-journal
- /data/data/####/wochi_v4.db-journal
- /data/data/####/wyzf_configcom.yf.y.f.init.util.e.xml
- /data/data/####/yf.apk
- /data/media/####/.tcookieid
- /data/media/####/uid.sys
Другие:
Загружает динамические библиотеки:
- cocosgme
- tsree2asfs
Использует следующие алгоритмы для шифрования данных:
- DES
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS5Padding
- DES
- DES-CBC-PKCS5Padding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
