Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Backdoor.613.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) www-msn####.a-####.a-ms####.net:80
- TCP(HTTP/1.1) www.go####.com:80
- TCP(HTTP/1.1) 1####.55.93.104:9004
- TCP(HTTP/1.1) 1####.129.132.111:8001
- TCP(HTTP/1.1) ji####.jieme####.com:8152
- TCP(HTTP/1.1) www.palmfun####.cn:80
- TCP(HTTP/1.1) v####.api.eeric####.com:80
- TCP(SSL/3.0) micro####.geo.appnexu####.net:443
- TCP(SSL/3.0) g.geo####.com:443
- TCP(TLS/1.0) static-####.akama####.net:443
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) cdn.tab####.com:443
- TCP(TLS/1.0) wild####.m####.net.####.net:443
- TCP(TLS/1.0) www-msn####.a-####.a-ms####.net:443
- TCP(TLS/1.0) c-bing####.a-####.a-ms####.net:443
- TCP(TLS/1.0) wild####.s####.com.####.net:443
- TCP(TLS/1.0) sb.scoreca####.com.####.net:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) p####.chart####.net:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) stat####.face####.com:443
- TCP(TLS/1.0) secure-####.edg####.net:443
- TCP(TLS/1.0) a####.e.ak####.net:443
- TCP(TLS/1.0) trc.tab####.com:443
- TCP(TLS/1.0) micro####.geo.appnexu####.net:443
- TCP(TLS/1.0) c.m####.com:443
- TCP(TLS/1.0) www.face####.com:443
- TCP(TLS/1.0) l####.msa.aka####.net:443
- TCP(TLS/1.0) img-pro####.akama####.net:443
- TCP(TLS/1.0) con####.face####.net:443
- TCP(TLS/1.0) www.go####.nl:443
- TCP(TLS/1.0) iceotf-####.traffic####.net:443
- TCP(TLS/1.0) g.geo####.com:443
- TCP(TLS/1.0) adser####.go####.com:443
Запросы DNS:
- a####.a####.com
- a####.e.ak####.net
- adser####.go####.com
- c.b####.com
- c.m####.com
- cdn.tab####.com
- con####.face####.net
- contex####.m####.net
- i####.cn.com
- ib.a####.com
- img-pro####.akama####.net
- img-s-m####.akama####.net
- img.s####.com
- ji####.jieme####.com
- l####.l####.com
- m.a####.com
- o####.msn.com
- p####.chart####.net
- pg.x####.com
- sb.scoreca####.com
- ssl.gst####.com
- st####.xx.f####.net
- stat####.face####.com
- static-####.akama####.net
- static-####.akama####.net
- trc.tab####.com
- v####.api.eeric####.com
- w####.msn.com
- www.face####.com
- www.go####.com
- www.go####.nl
- www.gst####.com
- www.palmfun####.cn
- xz####.zhan####.com
- yuey####.ld####.com
Запросы HTTP GET:
- www-msn####.a-####.a-ms####.net/
- www.go####.com/complete/search?hl=en&client=android&q=https://www.msn.co...
Запросы HTTP POST:
- ji####.jieme####.com:8152/ryf_webserver/payment/checkupdate.html
- v####.api.eeric####.com/api/payment/updateinit_v2
- www.palmfun####.cn/fee/searchpc
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.fb
- /data/data/####/.fb-journal
- /data/data/####/3c99d6d9a19c2699cbe29901bb0c04372|account_file.xml
- /data/data/####/MySms.xml
- /data/data/####/MySms.xml.bak (deleted)
- /data/data/####/TD_app_pefercen_profile.xml
- /data/data/####/XinZF_config.xml
- /data/data/####/XinZF_config.xml.bak
- /data/data/####/com.hzpz.game.knife_preferences.xml
- /data/data/####/jiepay_config.xml
- /data/data/####/jiepayplugin.apk
- /data/data/####/onib_clz.jar
- /data/data/####/pref_file.xml
- /data/data/####/shunpay_config
- /data/data/####/talkingdata_app.db-journal
- /data/data/####/talkingdata_app_process_preferences_file
- /data/data/####/talkingdata_app_version_preferences_file
- /data/data/####/td_pefercen_profile.xml
- /data/data/####/tdid.xml
- /data/data/####/zxxinzf.apk
- /data/media/####/.tcookieid
- /data/media/####/com.hzpz.game.knife_250026699187743_20180907_pay.log
Другие:
Запускает следующие shell-скрипты:
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- cocos2dcpp
- shunpay
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DES-CBC-PKCS5Padding
Может автоматически отправлять СМС-сообщения.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
