Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.248.origin
- Android.Triada.373.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) 1####.132.26.203:9700
- TCP(HTTP/1.1) 1####.196.40.71:9600
- TCP(HTTP/1.1) 1####.196.40.71:9500
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) adser####.go####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) www.go####.nl:443
Запросы DNS:
- a####.u####.com
- adser####.go####.com
- ssl.gst####.com
- www.go####.com
- www.go####.nl
- www.gst####.com
Запросы HTTP POST:
- a####.u####.com/app_logs
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/0LMaxwBtGBpwA4ib3h3Ezg==
- /data/data/####/4vedaIXtmXS6mwJK
- /data/data/####/8UMty3X9tksmnhWL2Q-1kA==.new
- /data/data/####/8XUtNWxltEGlcVS3vDv13A==
- /data/data/####/Alvin2.xml
- /data/data/####/CharMap.png
- /data/data/####/CharMap_atk.png
- /data/data/####/CharMap_bullet.png
- /data/data/####/CharMap_coin.png
- /data/data/####/CharMap_level.png
- /data/data/####/CharMap_mark.png
- /data/data/####/CharMap_score.png
- /data/data/####/CharMap_tomb.png
- /data/data/####/ChooseMission.csb
- /data/data/####/ContextData.xml
- /data/data/####/GameFail.csb
- /data/data/####/Infinite barrier_sc.csb
- /data/data/####/LayerUI.csb
- /data/data/####/LoadingScene.csb
- /data/data/####/LoadingScene.udf
- /data/data/####/MainMenu.csb
- /data/data/####/MissionOver.csb
- /data/data/####/N6Uc6FcHZrFUywc0.zip
- /data/data/####/Plist.plist
- /data/data/####/Plist.png
- /data/data/####/RankTable.csb
- /data/data/####/SthAboutGameScene.plist
- /data/data/####/SthAboutGameScene.png
- /data/data/####/SthAboutGameScene.tps
- /data/data/####/SunFlower_sc.csb
- /data/data/####/TaxBullet.csb
- /data/data/####/TaxCoin.csb
- /data/data/####/TaxExit.csb
- /data/data/####/TaxGreat.csb
- /data/data/####/TaxRevive.csb
- /data/data/####/TaxSupport.csb
- /data/data/####/TaxUpgrade.csb
- /data/data/####/advisor.png
- /data/data/####/ammo.mp3
- /data/data/####/anniu1.png
- /data/data/####/anniu10.png
- /data/data/####/anniu11.png
- /data/data/####/anniu12.png
- /data/data/####/anniu13.png
- /data/data/####/anniu15.png
- /data/data/####/anniu16.png
- /data/data/####/anniu17.png
- /data/data/####/anniu19.png
- /data/data/####/anniu2.png
- /data/data/####/anniu21.png
- /data/data/####/anniu22.png
- /data/data/####/anniu23.png
- /data/data/####/anniu24.png
- /data/data/####/anniu25.png
- /data/data/####/anniu26.png
- /data/data/####/anniu30.png
- /data/data/####/anniu31.png
- /data/data/####/anniu32.png
- /data/data/####/anniu33.png
- /data/data/####/anniu4.png
- /data/data/####/anniu6.png
- /data/data/####/anniu7.png
- /data/data/####/anniu8.png
- /data/data/####/anniu9.png
- /data/data/####/anniu_1_3.png
- /data/data/####/anniu_1_4.png
- /data/data/####/anniu_1_5.png
- /data/data/####/anniu_1_6.png
- /data/data/####/anniu_1_7.png
- /data/data/####/anniu_1_8.png
- /data/data/####/attribute.xml
- /data/data/####/beijing.png
- /data/data/####/bg.png
- /data/data/####/bg_2.png
- /data/data/####/bg_loading.png
- /data/data/####/bg_rec.xml
- /data/data/####/biaoti.png
- /data/data/####/biubiu.mp3
- /data/data/####/blank.png
- /data/data/####/boom.csb
- /data/data/####/boss.csb
- /data/data/####/boss_hurt.png
- /data/data/####/btnOff_fortify.png
- /data/data/####/btnOff_plus.png
- /data/data/####/btnOff_start.png
- /data/data/####/btn_again.png
- /data/data/####/btn_back.png
- /data/data/####/btn_cross.png
- /data/data/####/btn_fortify.png
- /data/data/####/btn_plus.png
- /data/data/####/btn_rank.png
- /data/data/####/btn_result.png
- /data/data/####/btn_sound.png
- /data/data/####/btn_sound_Off.png
- /data/data/####/btn_start.png
- /data/data/####/btn_take.png
- /data/data/####/bucket.csb
- /data/data/####/buji.png
- /data/data/####/bureau.xml
- /data/data/####/cap.csb
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/child.csb
- /data/data/####/coin.png
- /data/data/####/com.s.ypay.apk
- /data/data/####/coveruears.mp3
- /data/data/####/dangerous1.mp3
- /data/data/####/dangerous2.mp3
- /data/data/####/deviation_block.png
- /data/data/####/door.csb
- /data/data/####/down_ar.png
- /data/data/####/duqv1.png
- /data/data/####/duqv2.png
- /data/data/####/duqv3.png
- /data/data/####/duqv4.png
- /data/data/####/duqv5.png
- /data/data/####/duqv6.png
- /data/data/####/duqv7.png
- /data/data/####/duqv8.png
- /data/data/####/duqvbeijing.png
- /data/data/####/eatSoil.mp3
- /data/data/####/eggplant_10.png
- /data/data/####/eggplant_11.png
- /data/data/####/eggplant_12.png
- /data/data/####/eggplant_13.png
- /data/data/####/eggplant_14.png
- /data/data/####/eggplant_15.png
- /data/data/####/eggplant_16.png
- /data/data/####/eggplant_17.png
- /data/data/####/eggplant_18.png
- /data/data/####/eggplant_19.png
- /data/data/####/eggplant_20.png
- /data/data/####/eggplant_21.png
- /data/data/####/eggplant_22.png
- /data/data/####/eggplant_23.png
- /data/data/####/eggplant_24.png
- /data/data/####/eggplant_25.png
- /data/data/####/eggplant_26.png
- /data/data/####/eggplant_27.png
- /data/data/####/eggplant_28.png
- /data/data/####/eggplant_29.png
- /data/data/####/eggplant_5.png
- /data/data/####/eggplant_6.png
- /data/data/####/eggplant_7.png
- /data/data/####/eggplant_8.png
- /data/data/####/eggplant_9.png
- /data/data/####/endlessrock_1.png
- /data/data/####/endlessrock_2.png
- /data/data/####/endlessrock_3.png
- /data/data/####/erci.png
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/fashe01.png
- /data/data/####/fashe02.png
- /data/data/####/fashe03.png
- /data/data/####/fashe04.png
- /data/data/####/fashe05.png
- /data/data/####/fashe06.png
- /data/data/####/fashe07.png
- /data/data/####/fashe08.png
- /data/data/####/fashe09.png
- /data/data/####/fashe10.png
- /data/data/####/fashe11.png
- /data/data/####/fork.png
- /data/data/####/forkWarning.png
- /data/data/####/fountain.csb
- /data/data/####/frost.png
- /data/data/####/fuhuo.png
- /data/data/####/gameOver.png
- /data/data/####/gift.png
- /data/data/####/godblessu.mp3
- /data/data/####/great_gift.png
- /data/data/####/guang2.png
- /data/data/####/guangyun.png
- /data/data/####/guoguan1.png
- /data/data/####/guoguan2.png
- /data/data/####/guoguan3.png
- /data/data/####/guoguan4.png
- /data/data/####/guoguan5.png
- /data/data/####/guoguan6.png
- /data/data/####/guoguan7.png
- /data/data/####/hand.csb
- /data/data/####/handup.mp3
- /data/data/####/haohua.png
- /data/data/####/helmet_plaster.csb
- /data/data/####/helmet_steel.csb
- /data/data/####/info.png
- /data/data/####/info_upgrade.xml
- /data/data/####/jiangli.png
- /data/data/####/jiangshiL1.png
- /data/data/####/jiangshiL10.png
- /data/data/####/jiangshiL11.png
- /data/data/####/jiangshiL2.png
- /data/data/####/jiangshiL3.png
- /data/data/####/jiangshiL4.png
- /data/data/####/jiangshiL5.png
- /data/data/####/jiangshiL6.png
- /data/data/####/jiangshiL7.png
- /data/data/####/jiangshiL8.png
- /data/data/####/jiangshiL9.png
- /data/data/####/jieshu.png
- /data/data/####/jinbi.png
- /data/data/####/js3_3.csb
- /data/data/####/knife.csb
- /data/data/####/ladder.csb
- /data/data/####/lajiao.png
- /data/data/####/landscape_1.png
- /data/data/####/landscape_2.png
- /data/data/####/landscape_3.png
- /data/data/####/landscape_4.png
- /data/data/####/leader.mp3
- /data/data/####/leaderAs.mp3
- /data/data/####/leaderTalk.mp3
- /data/data/####/left_hand.csb
- /data/data/####/libexec.so
- /data/data/####/light.csb
- /data/data/####/machine.csb
- /data/data/####/mission_bar.png
- /data/data/####/mission_bar_bg.png
- /data/data/####/mission_info.json
- /data/data/####/mission_map.json
- /data/data/####/mission_piece.json
- /data/data/####/oach.mp3
- /data/data/####/paihangbang.png
- /data/data/####/paiming1.png
- /data/data/####/paiming2.png
- /data/data/####/paiming3.png
- /data/data/####/paiming4.png
- /data/data/####/paiming5.png
- /data/data/####/pause_Item_continue.png
- /data/data/####/pause_Item_menu.png
- /data/data/####/pause_Item_restart.png
- /data/data/####/pause_rope.png
- /data/data/####/pear.png
- /data/data/####/pearTree.png
- /data/data/####/peck.mp3
- /data/data/####/plant_1.csb
- /data/data/####/plant_2.csb
- /data/data/####/plant_3.csb
- /data/data/####/plant_4.csb
- /data/data/####/plant_5.csb
- /data/data/####/plant_normal.csb
- /data/data/####/plant_upgrade.csb
- /data/data/####/playerNames.xml
- /data/data/####/qiji2.png
- /data/data/####/qiji3.png
- /data/data/####/qiji4.png
- /data/data/####/rV46QmOczt1I_OWXpuzYZA==.new
- /data/data/####/rag.csb
- /data/data/####/rank.png
- /data/data/####/rankName.xml
- /data/data/####/rank_1.png
- /data/data/####/rank_2.png
- /data/data/####/rank_3.png
- /data/data/####/rank_4.png
- /data/data/####/rank_5.png
- /data/data/####/rdata_comqhnzywprq.new
- /data/data/####/rec.plist
- /data/data/####/rec.png
- /data/data/####/rename.xml
- /data/data/####/result.png
- /data/data/####/river.mp3
- /data/data/####/slowly.mp3
- /data/data/####/snow_hand.csb
- /data/data/####/sosad.mp3
- /data/data/####/sp_pause.png
- /data/data/####/sunshine.csb
- /data/data/####/surface.mp3
- /data/data/####/symbolic_1.png
- /data/data/####/symbolic_2.png
- /data/data/####/symbolic_3.png
- /data/data/####/symbolic_4.png
- /data/data/####/temp.zip
- /data/data/####/title_main.png
- /data/data/####/tkzcuq_f.zip
- /data/data/####/tree_sc.csb
- /data/data/####/trueSong.mp3
- /data/data/####/tuichu.png
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/unknown.xml
- /data/data/####/unrank.png
- /data/data/####/veil.csb
- /data/data/####/vi_db_pay-journal
- /data/data/####/warning.csb
- /data/data/####/watering.csb
- /data/data/####/webview.db-journal
- /data/data/####/wenzi1.png
- /data/data/####/word_help.png
- /data/data/####/wupaiming.png
- /data/data/####/wuxian.png
- /data/data/####/xing.png
- /data/data/####/zidan.png
- /data/data/####/zidanpolie.png
- /data/data/####/zombie.csb
- /data/data/####/zombie_door.csb
- /data/data/####/zombie_football.csb
- /data/data/####/zombie_hurt.png
- /data/data/####/zombie_ladder.csb
- /data/data/####/zombie_minor.csb
- /data/data/####/zombie_other.plist
- /data/data/####/zombie_other.png
- /data/data/####/zombie_rag.csb
- /data/data/####/zombie_snowman.csb
- /data/media/####/.cfg
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/sysid.dat
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh
- cat /sys/block/mmcblk0/device/cid
- getprop ro.product.cpu.abi
- ls -l /sbin/su
- ls -l /system/bin/su
- ls -l /system/sbin/su
- ls -l /system/xbin/su
- ls -l /vendor/bin/su
Загружает динамические библиотеки:
- cocos2dcpp
- libexec
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- DES-ECB-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- DES-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
