Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.SmsSend.1939.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ses####.ti####.net:80
- TCP(HTTP/1.1) f####.google####.com:80
- TCP(HTTP/1.1) www.go####.com:80
- TCP(HTTP/1.1) a####.b####.qq.com:8011
- TCP(HTTP/1.1) d####.add####.com.####.net:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) cl-2d70####.g####.co:80
- TCP(HTTP/1.1) c.n####.net:80
- TCP(HTTP/1.1) 1####.55.89.238:8977
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
- TCP(HTTP/1.1) 1####.178.116.121:9999
- TCP(HTTP/1.1) lsw####.leasewe####.com:80
- TCP(HTTP/1.1) b.n####.net:80
- TCP(HTTP/1.1) www.gst####.com:80
- TCP(HTTP/1.1) s####.nl:80
- TCP(HTTP/1.1) s.n####.net:80
- TCP(HTTP/1.1) di-4vwq####.s####.net:80
- TCP(HTTP/1.1) pay.all####.cn:80
- TCP(TLS/1.0) as####.orangeg####.com:443
- TCP(TLS/1.0) www.googlet####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) f####.google####.com:443
- TCP(TLS/1.0) s####.g.doublec####.net:443
- TCP(TLS/1.0) www.google-####.com:443
- TCP(TLS/1.0) geo.ti####.net:443
- TCP(TLS/1.0) id.go####.com:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) adser####.go####.com:443
Запросы DNS:
- a####.b####.qq.com
- a####.u####.com
- adser####.go####.com
- aexcep####.b####.qq.com
- and####.b####.qq.com
- as####.orangeg####.com
- b.n####.net
- c.n####.net
- f####.google####.com
- f####.gst####.com
- geo.ti####.net
- id.go####.com
- lsw####.leasewe####.com
- m.add####.com
- m.addthis####.com
- met####.s####.net
- mt####.go####.com
- pay.all####.cn
- s####.g.doublec####.net
- s####.nl
- s.n####.net
- s7.add####.com
- ses####.ti####.net
- ssl.gst####.com
- st####.s####.nl
- www.go####.com
- www.go####.nl
- www.google-####.com
- www.googlet####.com
- www.gst####.com
Запросы HTTP GET:
- b.n####.net/?v=####&a=####&x=####&s=####&r=####
- c.n####.net/p.js?a=####
- cl-2d70####.g####.co/games/assets/screenshots/7/89667/48385/222x140_1-10...
- d####.add####.com.####.net/js/300/addthis_widget.js
- d####.add####.com.####.net/l10n/client.nl.min.json
- d####.add####.com.####.net/live/boost/ra-5762a6e51a31241f/_ate.track.con...
- d####.add####.com.####.net/live/red_lojson/300lo.json?si=####&bkl=####&b...
- d####.add####.com.####.net/static/131.8e8819822a8cc01bc51e.js
- d####.add####.com.####.net/static/14.b50476fa52d9d98b3a48.js
- d####.add####.com.####.net/static/layers.1457328982467cc82fb7.js
- d####.add####.com.####.net/static/sh.e4e8af4de595fdb10ec1459d.html
- di-4vwq####.s####.net/rum.js
- f####.google####.com/css?family=####
- lsw####.leasewe####.com/a/l.gif?t=####
- s####.nl//images/logo.png
- s####.nl/fonts/icons.svg?7962####
- s####.nl/fonts/icons.ttf?7962####
- s####.nl/images/bling.png
- s####.nl/images/caticons/-0.svg
- s####.nl/images/caticons/-1.svg
- s####.nl/images/caticons/-1000.svg
- s####.nl/images/caticons/-1001.svg
- s####.nl/images/caticons/-1002.svg
- s####.nl/images/caticons/-2.svg
- s####.nl/images/caticons/-3.svg
- s####.nl/images/caticons/-4.svg
- s####.nl/images/caticons/-5.svg
- s####.nl/images/caticons/-6.svg
- s####.nl/images/caticons/-7.svg
- s####.nl/images/caticons/-8.svg
- s####.nl/images/default-avatar.png
- s####.nl/images/favicons/apple-touch-icon-57x57.png
- s####.nl/images/favicons/favicon-16x16.png
- s####.nl/images/flags/at.svg
- s####.nl/images/flags/be.svg
- s####.nl/images/flags/ch.svg
- s####.nl/images/flags/cz.svg
- s####.nl/images/flags/de.svg
- s####.nl/images/flags/es.svg
- s####.nl/images/flags/fi.svg
- s####.nl/images/flags/fr.svg
- s####.nl/images/flags/gb.svg
- s####.nl/images/flags/it.svg
- s####.nl/images/flags/nl.svg
- s####.nl/images/flags/pl.svg
- s####.nl/images/flags/pt.svg
- s####.nl/images/flags/ru.svg
- s####.nl/images/flags/se.svg
- s####.nl/images/flags/tr.svg
- s####.nl/images/flags/us.svg
- s####.nl/images/logo.png
- s####.nl/run-3-spel/
- s####.nl/scripts/main.mobile.min.js?v=####
- s####.nl/styles/main.mobile.min.css?v=####
- s.n####.net/?v=####&a=####
- ses####.ti####.net/ping?pageTimeStamp=####&siteid=####&first####&nocache...
- ses####.ti####.net/scripts/tws.js
- www.go####.com/complete/search?hl=####&client=####&q=####
- www.gst####.com/s/robotocondensed/v16/ieVl2ZhZI2eCN5jzbjEETS9weq8-19K7CA...
- www.gst####.com/s/yanonekaffeesatz/v9/3y976aknfjLm_3lMKjiMgmUUYBs04Y8bH-...
Запросы HTTP POST:
- a####.b####.qq.com:8011/rqd/async
- a####.u####.com/app_logs
- aexcep####.b####.qq.com:8012/rqd/async
- and####.b####.qq.com/rqd/async
- pay.all####.cn/pay/pay.action?rqid=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/armmode
- /data/data/####/bugly_db_legu-journal
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/classes.jar
- /data/data/####/decdone_413_1534579902012
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/gdbserver
- /data/data/####/jmsdk.dat.xml
- /data/data/####/libcocos2dcpp.so
- /data/data/####/libnfix.so
- /data/data/####/libshella-2.8.so
- /data/data/####/local_crash_lock
- /data/data/####/mix.dex
- /data/data/####/native_record_lock
- /data/data/####/pinfo.xml
- /data/data/####/security_info
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/version.dat.xml
- /data/data/####/webview.db-journal
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/sysid.dat
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-2.8.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.product.cpu.abi
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
Загружает динамические библиотеки:
- Bugly
- DecRawso
- libcocos2dcpp
- libnfix
- libshella-2.8
- libufix
- nfix
- ufix
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
- DES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
