Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.907
- Android.Triada.2018
- Android.Triada.373.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 1####.132.26.203:9700
- TCP(HTTP/1.1) dl####.m####.t####.####.com:80
- TCP(HTTP/1.1) 1####.196.191.233:6600
- TCP(HTTP/1.1) 1####.196.40.71:9600
- TCP(HTTP/1.1) 1####.196.40.71:9500
- TCP(TLS/1.0) ping####.qq.com:443
- TCP(TLS/1.0) x####.tc.qq.com:443
- TCP(TLS/1.0) pvp.in####.qq.com:443
- TCP(TLS/1.0) p####.tc.qq.com:443
- TCP(TLS/1.0) cgiac####.tc.qq.com:443
- TCP(TLS/1.0) shp.q####.cn:443
Запросы DNS:
- a####.qq.com
- dl####.m####.com
- g####.g####.cn
- g####.qq.com
- itea####.qq.com
- o####.mo####.qq.com
- ossweb####.qq.com
- p####.qq.com
- ping####.qq.com
- pvp.in####.qq.com
- shp.q####.cn
Запросы HTTP GET:
- dl####.m####.t####.####.com/myapp/1104466820/sgame/2017_com.tencent.tmgp...
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/FLPICesonDOxuQvGpxUbfQ==.new
- /data/data/####/HVfqihcrz3Zuh_Bo.zip
- /data/data/####/K-YeFmwGsLnMdNoAMu6o3g==
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/com.s.ypay.apk
- /data/data/####/dDN1tioiYOla3ttizzofAA==.new
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/gameConfig.xml
- /data/data/####/gdt_config.xml
- /data/data/####/index
- /data/data/####/jid2dafL4Jvd6kKi
- /data/data/####/libexec.so
- /data/data/####/qujcaa_f.zip
- /data/data/####/rdata_comvuhnzwjhav.new
- /data/data/####/unknown.xml
- /data/data/####/vi_db_pay-journal
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/xYKfBDtkHEaikIuND2DvBA==
- /data/media/####/.cfg
- /data/media/####/sys.lock
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh
- cat /sys/block/mmcblk0/device/cid
- getprop ro.product.cpu.abi
- ls -l /sbin/su
- ls -l /system/bin/su
- ls -l /system/sbin/su
- ls -l /system/xbin/su
- ls -l /vendor/bin/su
Загружает динамические библиотеки:
- libexec
Использует следующие алгоритмы для шифрования данных:
- DES-ECB-NoPadding
Использует следующие алгоритмы для расшифровки данных:
- DES-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
