Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.907
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) 1####.55.93.104:9004
- TCP(HTTP/1.1) i####.api.qiazhiw####.cn:10003
- TCP(HTTP/1.1) pa####.bjyi####.com:80
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8011
- TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
- TCP(HTTP/1.1) gdv.a.s####.com:80
- TCP(HTTP/1.1) 1####.129.132.111:8001
- TCP(HTTP/1.1) 1####.159.131.193:10201
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) ji####.jieme####.com:8152
- TCP(HTTP/1.1) sdk.api.qiazhiw####.cn:10201
- TCP(HTTP/1.1) xz####.zhan####.com:10011
- TCP(HTTP/1.1) sdk.api.qiazhiw####.cn:10001
- TCP(HTTP/1.1) sdk.api.qiazhiw####.cn:10002
- TCP(HTTP/1.1) wn.qiazhiw####.cn.####.net:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) api.y####.com:8080
- TCP(HTTP/1.1) q####.a####.com:80
Запросы DNS:
- a####.b####.qq.com
- a####.u####.com
- aexcep####.b####.qq.com
- and####.b####.qq.com
- api.y####.com
- i####.api.qiazhiw####.cn
- i####.api.qiazhiw####.cn
- ji####.dl####.com
- ji####.jieme####.com
- pa####.bjyi####.com
- pv.s####.com
- re####.api.qiazhiw####.cn
- sdk.api.qiazhiw####.cn
- wn.qiazhiw####.cn
- x####.bj####.cn
- xz####.zhan####.com
Запросы HTTP GET:
- gdv.a.s####.com/cityjson?ie=####
- pa####.bjyi####.com/agentfee/PluginUpdate.do?imei=####&appid=####&lver=#...
- q####.a####.com/jieplginf/wcxdata28
- q####.a####.com/znewxinzffe/zxdat74
- wn.qiazhiw####.cn.####.net/update/up11057092
Запросы HTTP POST:
- a####.u####.com/app_logs
- aexcep####.b####.qq.com:8011/rqd/async
- aexcep####.b####.qq.com:8012/rqd/async
- and####.b####.qq.com/rqd/async
- api.y####.com:8080/sdk/mobile-submit
- i####.api.qiazhiw####.cn:10003/v2/chis
- ji####.jieme####.com:8152/ryf_webserver/payment/checkupdate.html
- pa####.bjyi####.com/agentfee/ChargeFile.do
- sdk.api.qiazhiw####.cn:10001/v2/adconfig/get?app_id=####&t=####
- sdk.api.qiazhiw####.cn:10001/v2/bag/monitor?app_id=####&t=####
- sdk.api.qiazhiw####.cn:10001/v2/sdk/init?app_id=####&t=####
- sdk.api.qiazhiw####.cn:10001/v2/update/check?app_id=####&t=####
- sdk.api.qiazhiw####.cn:10002/v2/log/add?app_id=####&t=####
- sdk.api.qiazhiw####.cn:10002/v2/sdk/init?app_id=####&t=####
- sdk.api.qiazhiw####.cn:10201/v2/sdk/report?app_id=####&t=####
- xz####.zhan####.com:10011/zxhypay/action/updatexzf.do
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/01fengmian.csb
- /data/data/####/02mushi1.csb
- /data/data/####/03mushi2.csb
- /data/data/####/048qiu.csb
- /data/data/####/05sinuoke.csb
- /data/data/####/06zanting.csb
- /data/data/####/07shengli.csb
- /data/data/####/08shibai.csb
- /data/data/####/09help.csb
- /data/data/####/1.mp3
- /data/data/####/10-1.mp3
- /data/data/####/10-2.mp3
- /data/data/####/10-3.mp3
- /data/data/####/10about.csb
- /data/data/####/11-1.mp3
- /data/data/####/11-2.mp3
- /data/data/####/11jiangi1.csb
- /data/data/####/12.mp3
- /data/data/####/12jiangi2.csb
- /data/data/####/13-1.mp3
- /data/data/####/13-2.mp3
- /data/data/####/13jiangi3.csb
- /data/data/####/14-2.mp3
- /data/data/####/14.mp3
- /data/data/####/14jiangi4.csb
- /data/data/####/15.mp3
- /data/data/####/15jiangi5.csb
- /data/data/####/16-1.mp3
- /data/data/####/16-2.mp3
- /data/data/####/16jiangi6.csb
- /data/data/####/17.mp3
- /data/data/####/17jiangi7.csb
- /data/data/####/18jiangi8.csb
- /data/data/####/19jiangi9.csb
- /data/data/####/2.mp3
- /data/data/####/20jiangi10.csb
- /data/data/####/21jiangi11.csb
- /data/data/####/22jiangi12.csb
- /data/data/####/23jiangi13.csb
- /data/data/####/24jiangi14.csb
- /data/data/####/25jiangi15.csb
- /data/data/####/26libao1.csb
- /data/data/####/27libao2.csb
- /data/data/####/28libao3.csb
- /data/data/####/29libao4.csb
- /data/data/####/3.mp3
- /data/data/####/30libao5.csb
- /data/data/####/31libao6.csb
- /data/data/####/32libao7.csb
- /data/data/####/33libao8.csb
- /data/data/####/34libao9.csb
- /data/data/####/35shangcheng3.csb
- /data/data/####/36chengjiu.csb
- /data/data/####/37help.csb
- /data/data/####/38about.csb
- /data/data/####/4-1.mp3
- /data/data/####/4-2.mp3
- /data/data/####/5.mp3
- /data/data/####/6-1.mp3
- /data/data/####/6-6.mp3
- /data/data/####/7.mp3
- /data/data/####/8.mp3
- /data/data/####/9.mp3
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/Cue-1.png
- /data/data/####/Cue-10.png
- /data/data/####/Cue-11.png
- /data/data/####/Cue-12.png
- /data/data/####/Cue-13.png
- /data/data/####/Cue-14.png
- /data/data/####/Cue-15.png
- /data/data/####/Cue-16.png
- /data/data/####/Cue-2.png
- /data/data/####/Cue-3.png
- /data/data/####/Cue-4.png
- /data/data/####/Cue-5.png
- /data/data/####/Cue-6.png
- /data/data/####/Cue-7.png
- /data/data/####/Cue-8.png
- /data/data/####/Cue-9.png
- /data/data/####/JiePay.xml
- /data/data/####/SP_REPLACE_CLASSLOADER_CLASS_NAME.xml
- /data/data/####/TextAtlas.png
- /data/data/####/UI.plist
- /data/data/####/UI.png
- /data/data/####/X.png
- /data/data/####/XinZF.xml
- /data/data/####/XinZF_conf.xml
- /data/data/####/about.png
- /data/data/####/achiev01.png
- /data/data/####/achiev02.png
- /data/data/####/achiev03.png
- /data/data/####/achiev04.png
- /data/data/####/achiev05.png
- /data/data/####/achiev06.png
- /data/data/####/achiev07.png
- /data/data/####/achiev08.png
- /data/data/####/achiev09.png
- /data/data/####/achiev10.png
- /data/data/####/achiev11.png
- /data/data/####/achiev12.png
- /data/data/####/achiev13.png
- /data/data/####/achiev14.png
- /data/data/####/achiev15.png
- /data/data/####/achiev16.png
- /data/data/####/allBall1.plist
- /data/data/####/allBall1.png
- /data/data/####/allBall2.plist
- /data/data/####/allBall2.png
- /data/data/####/b.png
- /data/data/####/bugly_db_legu
- /data/data/####/bugly_db_legu-journal
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/chengjiu.plist
- /data/data/####/chengjiu.png
- /data/data/####/chengjiu01.png
- /data/data/####/chengjiu02.png
- /data/data/####/chengjiu03.png
- /data/data/####/chengjiu04.png
- /data/data/####/chengjiu05.png
- /data/data/####/chengjiu06.png
- /data/data/####/chengjiu07.png
- /data/data/####/chengjiu08.png
- /data/data/####/chengjiu09.png
- /data/data/####/chengjiu10.png
- /data/data/####/chg_kefu.png
- /data/data/####/config50380.xml
- /data/data/####/cover_kefu.png
- /data/data/####/cue.png
- /data/data/####/cue_cpu.png
- /data/data/####/daoju1.png
- /data/data/####/daoju2.png
- /data/data/####/daoju3.png
- /data/data/####/daoju4.png
- /data/data/####/daoju5.png
- /data/data/####/daoju55.png
- /data/data/####/dong1.png
- /data/data/####/dong2.png
- /data/data/####/dong3.png
- /data/data/####/dong4.png
- /data/data/####/dstai
- /data/data/####/dzi11.png
- /data/data/####/ehik.tpoiu.rpyo.e_preferences.xml
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/fengmian1.png
- /data/data/####/fengmian10.png
- /data/data/####/fengmian11.png
- /data/data/####/fengmian12.png
- /data/data/####/fengmian13.png
- /data/data/####/fengmian14.png
- /data/data/####/fengmian15.png
- /data/data/####/fengmian16.png
- /data/data/####/fengmian17.png
- /data/data/####/fengmian18.png
- /data/data/####/fengmian2.png
- /data/data/####/fengmian3.png
- /data/data/####/fengmian4.png
- /data/data/####/fengmian5.png
- /data/data/####/fengmian6.png
- /data/data/####/fengmian7.png
- /data/data/####/fengmian8.png
- /data/data/####/fengmian9.png
- /data/data/####/help1.png
- /data/data/####/jiage.png
- /data/data/####/jiangli.png
- /data/data/####/jiepay_config.xml
- /data/data/####/jiepayplugin.apk
- /data/data/####/jiepayplugin.dex
- /data/data/####/k1.png
- /data/data/####/k2.png
- /data/data/####/k3.png
- /data/data/####/k4.png
- /data/data/####/key
- /data/data/####/libao.png
- /data/data/####/libao1.png
- /data/data/####/libao10.png
- /data/data/####/libao11.png
- /data/data/####/libao12.png
- /data/data/####/libao13.png
- /data/data/####/libao2.png
- /data/data/####/libao3.png
- /data/data/####/libao4.png
- /data/data/####/libao5.png
- /data/data/####/libao6.png
- /data/data/####/libao7.png
- /data/data/####/libao8.png
- /data/data/####/libao9.png
- /data/data/####/libnfix.so
- /data/data/####/libshella-2.9.0.2.so
- /data/data/####/libufix.so
- /data/data/####/lizi_1.plist
- /data/data/####/lizi_11.plist
- /data/data/####/lizi_12.plist
- /data/data/####/lizi_14.plist
- /data/data/####/lizi_15.plist
- /data/data/####/lizi_16.plist
- /data/data/####/lizi_17.plist
- /data/data/####/lizi_18.plist
- /data/data/####/lizi_19.plist
- /data/data/####/lizi_2.plist
- /data/data/####/lizi_20.plist
- /data/data/####/lizi_21.plist
- /data/data/####/lizi_22.plist
- /data/data/####/lizi_23.plist
- /data/data/####/lizi_25.plist
- /data/data/####/lizi_26.plist
- /data/data/####/lizi_27.plist
- /data/data/####/lizi_28.plist
- /data/data/####/lizi_29.plist
- /data/data/####/lizi_3.plist
- /data/data/####/lizi_32.plist
- /data/data/####/lizi_33.plist
- /data/data/####/lizi_5.plist
- /data/data/####/lizi_6.plist
- /data/data/####/lizi_7.plist
- /data/data/####/lizi_8.plist
- /data/data/####/lizi_9.plist
- /data/data/####/local_crash_lock
- /data/data/####/mix.dex
- /data/data/####/mix.so
- /data/data/####/mushi.plist
- /data/data/####/mushi.png
- /data/data/####/mushi0.png
- /data/data/####/mushi1.png
- /data/data/####/mushi10.png
- /data/data/####/mushi11.png
- /data/data/####/mushi12.png
- /data/data/####/mushi13.png
- /data/data/####/mushi15.png
- /data/data/####/mushi16.png
- /data/data/####/mushi17.png
- /data/data/####/mushi2.png
- /data/data/####/mushi3.png
- /data/data/####/mushi4.png
- /data/data/####/mushi5.png
- /data/data/####/mushi6.png
- /data/data/####/mushi7.png
- /data/data/####/mushi8.png
- /data/data/####/mushi9.png
- /data/data/####/mushim1.png
- /data/data/####/mushim2.png
- /data/data/####/name.png
- /data/data/####/native_record_lock
- /data/data/####/new_md.dex
- /data/data/####/new_md.jar
- /data/data/####/num1.png
- /data/data/####/num2.png
- /data/data/####/other.plist
- /data/data/####/other.png
- /data/data/####/other1.png
- /data/data/####/point.png
- /data/data/####/quan.png
- /data/data/####/quan2.png
- /data/data/####/renwu00.png
- /data/data/####/renwu01.png
- /data/data/####/renwu1.png
- /data/data/####/renwu10.png
- /data/data/####/renwu11.png
- /data/data/####/renwu12.png
- /data/data/####/renwu13.png
- /data/data/####/renwu14.png
- /data/data/####/renwu15.png
- /data/data/####/renwu2.png
- /data/data/####/renwu3.png
- /data/data/####/renwu4.png
- /data/data/####/renwu5.png
- /data/data/####/renwu6.png
- /data/data/####/renwu7.png
- /data/data/####/renwu8.png
- /data/data/####/renwu9.png
- /data/data/####/rg.png
- /data/data/####/rs.png
- /data/data/####/saog.png
- /data/data/####/sc01.png
- /data/data/####/sc02.png
- /data/data/####/sc03.png
- /data/data/####/sc04.png
- /data/data/####/sc05.png
- /data/data/####/sc06.png
- /data/data/####/sc09.png
- /data/data/####/sc10.png
- /data/data/####/sc11.png
- /data/data/####/sc12.png
- /data/data/####/sc13.png
- /data/data/####/sc14.png
- /data/data/####/sc15.png
- /data/data/####/sc16.png
- /data/data/####/sc17.png
- /data/data/####/sc18.png
- /data/data/####/sc19.png
- /data/data/####/sc20.png
- /data/data/####/sc21.png
- /data/data/####/sc22.png
- /data/data/####/sc24.png
- /data/data/####/sc25.png
- /data/data/####/sc27.png
- /data/data/####/sc28.png
- /data/data/####/sc29.png
- /data/data/####/sc32.png
- /data/data/####/sc33.png
- /data/data/####/sc34.png
- /data/data/####/sc35.png
- /data/data/####/sc7.png
- /data/data/####/sc8.png
- /data/data/####/security_info
- /data/data/####/shunpay_config
- /data/data/####/shuzi1.png
- /data/data/####/shuzi2.png
- /data/data/####/shuzi3.png
- /data/data/####/shuzi4.png
- /data/data/####/sms_db
- /data/data/####/sms_db-journal
- /data/data/####/snooker.plist
- /data/data/####/snooker.png
- /data/data/####/tishizi1.png
- /data/data/####/tishizi2.png
- /data/data/####/tishizi3.png
- /data/data/####/tishizi4.png
- /data/data/####/tishizi5.png
- /data/data/####/tishizi6.png
- /data/data/####/tishizi7.png
- /data/data/####/tongji1.png
- /data/data/####/tongji10.png
- /data/data/####/tongji2.png
- /data/data/####/tongji3.png
- /data/data/####/tongji4.png
- /data/data/####/tongji5.png
- /data/data/####/tongji6.png
- /data/data/####/tongji8.png
- /data/data/####/tongji9.png
- /data/data/####/touxiang.plist
- /data/data/####/touxiang.png
- /data/data/####/touxiang1.png
- /data/data/####/touxiang2.png
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/ui-zhuo-1.png
- /data/data/####/ui-zhuo-2.png
- /data/data/####/ui-zhuo-3.png
- /data/data/####/ui-zhuo-8.png
- /data/data/####/ui-zhuo-9.png
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/up11057092
- /data/data/####/up11057092.jar
- /data/data/####/w1.png
- /data/data/####/w2.png
- /data/data/####/w3.png
- /data/data/####/w4.png
- /data/data/####/webview.db
- /data/data/####/webview.db-journal
- /data/data/####/xie.png
- /data/data/####/yf.apk
- /data/data/####/yf.dex
- /data/data/####/yf.dex (deleted)
- /data/data/####/yswx_pay.bin.zp
- /data/data/####/yswx_pay_sdk.dex
- /data/data/####/yswx_pay_sdk.jar
- /data/data/####/yswx_pay_sdk.xml
- /data/data/####/zanting1.png
- /data/data/####/zanting2.png
- /data/data/####/zanting3.png
- /data/data/####/zanting4.png
- /data/data/####/zanting5.png
- /data/data/####/zanting6.png
- /data/data/####/zanting7.png
- /data/data/####/zanting8.png
- /data/data/####/zanting9.png
- /data/data/####/zhizhen.png
- /data/data/####/zhm0.png
- /data/data/####/zhm1.png
- /data/data/####/zhm2.png
- /data/data/####/zhm3.png
- /data/data/####/zhm4.png
- /data/data/####/zhm5.png
- /data/data/####/zhm7.png
- /data/data/####/zhm8.png
- /data/data/####/zhm8qiu.png
- /data/data/####/zhmsinuoke.png
- /data/data/####/zhuangbei1.png
- /data/data/####/zhuangbei2.png
- /data/data/####/zxxinzf.apk
- /data/data/####/zxxinzf.apkdata
- /data/data/####/zxxinzf.dex (deleted)
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-2.9.0.2.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.product.cpu.abi
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
Загружает динамические библиотеки:
- Bugly
- game
- libnfix
- libshella-2.9.0.2
- libufix
- nfix
- shunpay
- ufix
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
- DES
- DES-CBC-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-GCM-NoPadding
- DES
- DES-CBC-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из SMS.
Получает информацию об отправленых/принятых SMS.
