Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Xiny.23
- Android.Xiny.65.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP sp1.sz####.com:9701
- TCP sp1.sz####.com:9702
- TCP pya.jy####.com:7701
- TCP pya.jy####.com:7702
Запросы DNS:
- pya.jy####.com
- s####.c####.com
- so1.yo####.com
- so2.yo####.com
- so3.yo####.com
- sp1.sz####.com
- sp2.sz####.com
- sp3.sz####.com
- www.google-####.com
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- /data/data/####/.md5
- /data/data/####/.sec_version
- /data/data/####/classes.dex
- /data/data/####/classes.jar
- /data/data/####/cxcdownloads
- /data/data/####/cxcdownloads-journal
- /data/data/####/cxp_datn.xml
- /data/data/####/fs_download.db
- /data/data/####/fs_download.db-journal
- /data/data/####/fsappnfo_pre.xml
- /data/data/####/fsconf_pre.xml
- /data/data/####/fstrategy_pre.xml
- /data/data/####/google_analytics.db
- /data/data/####/google_analytics.db-journal
- /data/data/####/j-id.xml
- /data/data/####/j.dex (deleted)
- /data/data/####/j.jar
- /data/data/####/ki.xml
- /data/data/####/libsecexe.x86.so
- /data/data/####/libsecmain.x86.so
- /data/data/####/mmapps.mirror.cqxjz
- /data/data/####/mmapps.mirror.cqxjz.art
- /data/data/####/newpushdownloads
- /data/data/####/newpushdownloads-journal
- /data/data/####/vgp_id.xml
- /data/data/####/webview.db
- /data/data/####/webview.db-journal
- /data/data/####/yj.dex (deleted)
- /data/data/####/yj.jar
- /data/data/####/yo_conf_pre.xml
- /data/data/####/yoo_fsappnfo_pre.xml
- /data/data/####/yoo_fsconf_pre.xml
- /data/data/####/yoo_fstrategy_pre.xml
- /data/data/####/yoo_p_download.db
- /data/data/####/yoo_p_download.db-journal
- /data/data/####/yoo_r_common_pre.xml
- /data/data/####/yoo_s_download.db
- /data/data/####/yoo_s_download.db-journal
- /data/data/####/yops.dex (deleted)
- /data/data/####/yops.jar
- /data/media/####/CX.DAT
- /data/media/####/MID.DAT
- /data/media/####/time.dat
Другие:
Запускает следующие shell-скрипты:
- <Package> <Package> -1829262152 0 /data/app/<Package>-1.apk 40 <Package> 50 51
- <Package> <Package> -1829262152 0 /data/app/<Package>-1.apk 42 <Package> 53 54
- <Package> <Package> -1829262152 0 /data/app/<Package>-1.apk 44 <Package> 53 54
- <Package> <Package> -1829262152 0 /data/app/<Package>-1.apk 45 <Package> 54 55
- chmod 755 <Package Folder>/.cache/<Package>
- chmod 755 <Package Folder>/.cache/<Package>.art
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- libsecexe.x86
Использует следующие алгоритмы для расшифровки данных:
- DES
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Осуществляет доступ к интерфейсу камеры.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
