Техническая информация
Вредоносные функции:
Скрывает свою иконку с экрана.
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) subsc####.man####.in####.cn:8888
- TCP(HTTP/1.1) subsc####.man####.in####.cn:8080
- TCP(TLS/1.0) msc.b####.com:443
Запросы DNS:
- 3s.d####.org
- msc.b####.com
- subsc####.man####.in####.cn
- w####.se####.in####.cn
Запросы HTTP POST:
- subsc####.man####.in####.cn:8080/execute_manager/acceptact/acceptDeviceA...
- subsc####.man####.in####.cn:8888/wxgz-main/client/wxgzclient/wxgzApplyAp...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/AvpGrantCert.avpcfg
- /data/data/####/CERT.RSA
- /data/data/####/CERT.SF
- /data/data/####/MANIFEST.MF
- /data/data/####/WxgzPlugin.apk
- /data/data/####/acs_engine_config.xml
- /data/data/####/activity_main.xml
- /data/data/####/avp_comm_config.xml
- /data/data/####/avp_config.properties
- /data/data/####/avp_sdk_config.xml
- /data/data/####/baidu_acs_cache.db-journal
- /data/data/####/baidu_bde_cache.db-journal
- /data/data/####/baidu_cloud_5infos.db-journal
- /data/data/####/baidu_cloud_cache.db-journal
- /data/data/####/bde_engine_config.xml
- /data/data/####/ceshi
- /data/data/####/com.dianyou.push.config.xml
- /data/data/####/ic_launcher.png
- /data/data/####/image_icon.png
- /data/data/####/init.tgs
- /data/data/####/libacs.so
- /data/data/####/libacs_sdk.so
- /data/data/####/libcork.so
- /data/data/####/libdianyou_push_sdk.so
- /data/data/####/libdrisk.so
- /data/data/####/libexec.so
- /data/data/####/libknife.so
- /data/data/####/record.xml
- /data/data/####/reqUrlCmd
- /data/data/####/security_policy_config.xml
- /data/data/####/wxgz.db-journal
- /data/media/####/.persistence.dy
Другие:
Запускает следующие shell-скрипты:
- getprop ro.build.fingerprint
- getprop ro.build.version.sdk
- getprop ro.product.cpu.abi
- getprop ro.product.model
- ps |grep uiautomator
Загружает динамические библиотеки:
- dianyou_push_sdk
- drisk
- libacs
- libexec
Использует следующие алгоритмы для шифрования данных:
- Blowfish-CBC-NoPadding
- DESede
Использует следующие алгоритмы для расшифровки данных:
- Blowfish-CBC-NoPadding
Использует права администратора.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об активных администраторах устройства.
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
