Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.236.origin
- Android.Xiny.1513
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 1####.25.187.234:8013
- TCP(HTTP/1.1) sd####.cm####.com:80
- TCP(HTTP/1.1) 1####.25.191.62:8014
- TCP(HTTP/1.1) 1####.25.144.78:8009
- TCP(HTTP/1.1) sdk.qipa####.cn:8088
- TCP(HTTP/1.1) 1####.25.143.41:8010
- TCP(HTTP/1.1) 1####.159.103.205:8090
- TCP(HTTP/1.1) 1####.159.152.136:8090
- TCP(HTTP/1.1) p1.i####.cc:80
- TCP(HTTP/1.1) gbk.9####.com:9000
- TCP(HTTP/1.1) dev.pu####.com:80
- TCP(HTTP/1.1) pay.9####.com:9000
- TCP(TLS/1.0) 1####.217.19.206:443
Запросы DNS:
- dev.pu####.com
- gbk.9####.com
- l####.i####.cc
- p1.i####.cc
- pay.9####.com
- sd####.cm####.com
- sdk.qipa####.cn
Запросы HTTP GET:
- dev.pu####.com/mvc/lgn
Запросы HTTP POST:
- dev.pu####.com/mvc/network/get_info.do
- gbk.9####.com:9000/sdk_pools_pay_version
- p1.i####.cc/index.php/MC/HB
- p1.i####.cc/index.php/MC/LP
- p1.i####.cc/index.php/MC/RP
- pay.9####.com:9000/inner_sdk_upgrade_check
- pay.9####.com:9000/record_user_active
- pay.9####.com:9000/sdk_pools_pay
- pay.9####.com:9000/sdk_pools_pay_result
- sd####.cm####.com/behaviorLogging/eventLogging/accept
- sd####.cm####.com/behaviorLogging/eventLogging/acceptCommon.do
- sdk.qipa####.cn:8088/a.do
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/347781996620052-journal
- /data/data/####/CYCLE_PAY_PREF_NAME.xml
- /data/data/####/CYCLE_UNIQUE_ID.xml
- /data/data/####/LANG_SDK_PREF.xml
- /data/data/####/Plugin2.apk
- /data/data/####/abc.xml
- /data/data/####/b2A550A052m6l6a9n941n8e7p7C4a3.xml
- /data/data/####/cyclesdk.apk
- /data/data/####/lang_encrypt_dex.dex
- /data/data/####/libhami.so
- /data/data/####/miiLite.dex
- /data/data/####/webview.db-journal
- /data/data/####/yl_plugin.apk
- /data/media/####/pkg.dat
- /data/media/####/pkg.tmp
- /data/media/####/uu.dat
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
- cat /proc/cpuinfo
Загружает динамические библиотеки:
- libhami
- miiLite
Использует следующие алгоритмы для шифрования данных:
- AES
- AES-CBC-PKCS5Padding
- DES
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS5Padding
- DES
- DES-CBC-PKCS5Padding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.
