Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.Triada.2018
- Android.Triada.309
- Android.Triada.373.origin
Отправляет данные входящих SMS на удалённый хост.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) inter####.we####.cn:8982
- TCP(HTTP/1.1) and####.b####.qq.com:80
Запросы DNS:
- and####.b####.qq.com
- inter####.we####.cn
Запросы HTTP GET:
- inter####.we####.cn:8982/payment/jar_interfaces/rx_2.30.jar
- inter####.we####.cn:8982/payment/sdkPay/getAuthContext.do?sdkId=####
- inter####.we####.cn:8982/payment/sdkPay/getCommand.do?isAirplaneMode=###...
- inter####.we####.cn:8982/payment/sdkPay/getOMC.do?sign=####×tamp=##...
- inter####.we####.cn:8982/payment/sdkPay/getTextAlpha.do?sign=####×t...
- inter####.we####.cn:8982/payment/sdkPay/getVersion.do?sign=####×tam...
- inter####.we####.cn:8982/payment/sdkPay/recordUser.do?sdkId=####&bsc_cid...
- inter####.we####.cn:8982/payment/sdkPay/subLog.do?sign=####×tamp=##...
- inter####.we####.cn:8982/payment/sdkPay/subLog.do?sign=005d501f4fd9a8a1a...
- inter####.we####.cn:8982/payment/sdkPay/subLog.do?sign=2a20d7c7475e0d4c4...
- inter####.we####.cn:8982/payment/sdkPay/subLog.do?sign=5b7fb3a3c401530ea...
- inter####.we####.cn:8982/payment/sdkPay/subLog.do?sign=62e7299942f3da270...
- inter####.we####.cn:8982/payment/sdkPay/subLog.do?sign=820e32f3295aad101...
- inter####.we####.cn:8982/payment/sdkPay/subLog.do?sign=91e9f9f1a7195aa02...
- inter####.we####.cn:8982/payment/sdkPay/subLogSwitch.do?sign=####×t...
Запросы HTTP POST:
- and####.b####.qq.com/rqd/async
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/00fm00.png
- /data/data/####/00fm01.png
- /data/data/####/00fm02.png
- /data/data/####/00fm03.png
- /data/data/####/00fm05.png
- /data/data/####/00fm06.png
- /data/data/####/00fm06a.png
- /data/data/####/00fm07.png
- /data/data/####/00fm07a.png
- /data/data/####/00fm08.png
- /data/data/####/00fm08a.png
- /data/data/####/00fm09.png
- /data/data/####/00fmScene.csb
- /data/data/####/00fmScene_0.csb
- /data/data/####/00fmScene_1.csb
- /data/data/####/01setScene.csb
- /data/data/####/01ui00.png
- /data/data/####/01ui01.png
- /data/data/####/02aboutScene.csb
- /data/data/####/02ui00.png
- /data/data/####/02ui01.png
- /data/data/####/02ui02.png
- /data/data/####/02ui03.png
- /data/data/####/02ui04.png
- /data/data/####/02ui04a.png
- /data/data/####/02ui05.png
- /data/data/####/03helpScene.csb
- /data/data/####/03icon.mp3
- /data/data/####/03ui00.png
- /data/data/####/03ui01.png
- /data/data/####/03ui01a.png
- /data/data/####/03ui01b.png
- /data/data/####/03ui01c.png
- /data/data/####/03ui02.png
- /data/data/####/03ui03.png
- /data/data/####/03ui03a.png
- /data/data/####/04jump.mp3
- /data/data/####/04shopScene.csb
- /data/data/####/04ui00.png
- /data/data/####/04ui01.png
- /data/data/####/04ui01a.png
- /data/data/####/04ui02.png
- /data/data/####/04ui02a.png
- /data/data/####/04ui03.png
- /data/data/####/04ui03a.png
- /data/data/####/04ui04.png
- /data/data/####/05daojuScene.csb
- /data/data/####/05daojuScene_0.csb
- /data/data/####/05luodi.mp3
- /data/data/####/06libaoScene.csb
- /data/data/####/07gameScene.csb
- /data/data/####/07qie.mp3
- /data/data/####/07ui01.png
- /data/data/####/07ui01a.png
- /data/data/####/07ui03.png
- /data/data/####/07ui04.png
- /data/data/####/07ui04a.png
- /data/data/####/07ui05.png
- /data/data/####/07ui05a.png
- /data/data/####/07ui06.png
- /data/data/####/08siwangScene.csb
- /data/data/####/08ui00.png
- /data/data/####/08ui01.png
- /data/data/####/08ui02.png
- /data/data/####/08ui03.png
- /data/data/####/08ui04.png
- /data/data/####/08ui05.png
- /data/data/####/08xueren.mp3
- /data/data/####/09car.mp3
- /data/data/####/09tongjiScene.csb
- /data/data/####/09ui00.png
- /data/data/####/09ui01.png
- /data/data/####/09ui02.png
- /data/data/####/09ui02a.png
- /data/data/####/09ui03.png
- /data/data/####/09ui04.png
- /data/data/####/09ui05.png
- /data/data/####/09ui06.png
- /data/data/####/09ui07.png
- /data/data/####/09ui08.png
- /data/data/####/10laoying.mp3
- /data/data/####/10stopScene.csb
- /data/data/####/11huojian.mp3
- /data/data/####/11renwuScene.csb
- /data/data/####/11renwuScene_0.csb
- /data/data/####/12libao01.csb
- /data/data/####/12libao02.csb
- /data/data/####/12libao03.csb
- /data/data/####/12libao04.csb
- /data/data/####/12libao05.csb
- /data/data/####/12libao06.csb
- /data/data/####/13junxianScene.csb
- /data/data/####/13xuebeng.mp3
- /data/data/####/14junxianScene.csb
- /data/data/####/14start.mp3
- /data/data/####/15fmnewScene.csb
- /data/data/####/16guankaScene.csb
- /data/data/####/5.png
- /data/data/####/6.png
- /data/data/####/7.png
- /data/data/####/8.png
- /data/data/####/AiWanUI.aui
- /data/data/####/GlPGw9zH3F07sZ5p.zip
- /data/data/####/PopupMessage.csb
- /data/data/####/QeELaYw8z-Y6mSrd
- /data/data/####/XchumoAnimation.ExportJson
- /data/data/####/XchumoAnimation0.plist
- /data/data/####/XchumoAnimation0.png
- /data/data/####/ZJ_HP.png
- /data/data/####/background.mp3
- /data/data/####/bear01.png
- /data/data/####/bear02.png
- /data/data/####/bear05.png
- /data/data/####/bear06.png
- /data/data/####/bear07.png
- /data/data/####/bear09.png
- /data/data/####/bear11.png
- /data/data/####/bear12.png
- /data/data/####/bear13.png
- /data/data/####/bear14.png
- /data/data/####/bear16.png
- /data/data/####/bear17.png
- /data/data/####/bear18.png
- /data/data/####/bear20.png
- /data/data/####/bear20a.png
- /data/data/####/bear22.png
- /data/data/####/bear23.png
- /data/data/####/bear24.png
- /data/data/####/bear26.png
- /data/data/####/bear27.png
- /data/data/####/bear28.png
- /data/data/####/billboard.csb
- /data/data/####/billbroad.png
- /data/data/####/boomParticle_4.plist
- /data/data/####/bugly_db_legu-journal
- /data/data/####/cd01.png
- /data/data/####/cd02a.png
- /data/data/####/crash.txt
- /data/data/####/gold01.png
- /data/data/####/gold01a.png
- /data/data/####/gold01b.png
- /data/data/####/gold02b.png
- /data/data/####/gold03b.png
- /data/data/####/gold04b.png
- /data/data/####/hero.csb
- /data/data/####/hero0.plist
- /data/data/####/hero0.png
- /data/data/####/hero1.plist
- /data/data/####/hero1.png
- /data/data/####/hillside2.png
- /data/data/####/hillside3.png
- /data/data/####/hillside6.png
- /data/data/####/hillside7.png
- /data/data/####/hillside8.png
- /data/data/####/hillside9.png
- /data/data/####/hillsidePatch.png
- /data/data/####/house.png
- /data/data/####/huaxuanAnimation.ExportJson
- /data/data/####/huaxuanAnimation.csb
- /data/data/####/huaxuanAnimation0.plist
- /data/data/####/huaxuanAnimation0.png
- /data/data/####/huaxue-plist-001.plist
- /data/data/####/huaxueParticle_1.plist
- /data/data/####/huaxueParticle_2.plist
- /data/data/####/huaxueduixiangAnimation.ExportJson
- /data/data/####/huaxueduixiangAnimation.csb
- /data/data/####/huaxueduixiangAnimation0.plist
- /data/data/####/huaxueduixiangAnimation0.png
- /data/data/####/huaxuelizi.plist
- /data/data/####/huaxuelizi_1.plist
- /data/data/####/hui1.png
- /data/data/####/huojianParticle_3.plist
- /data/data/####/j1.png
- /data/data/####/j2.png
- /data/data/####/j3.png
- /data/data/####/j4.png
- /data/data/####/j5.png
- /data/data/####/j6.png
- /data/data/####/joRb_cNwn9YbcXGg34o9NA==
- /data/data/####/junxian01.png
- /data/data/####/kmnhMzJhVUxCbJtr_07cwg==.new
- /data/data/####/lb02.png
- /data/data/####/lb03.png
- /data/data/####/lb04.png
- /data/data/####/lb05.png
- /data/data/####/lb07.png
- /data/data/####/lb08.png
- /data/data/####/lb09.png
- /data/data/####/lb10.png
- /data/data/####/lb11.png
- /data/data/####/lb12.png
- /data/data/####/lb13.png
- /data/data/####/lb14.png
- /data/data/####/lb15.png
- /data/data/####/lb16.png
- /data/data/####/lb17.png
- /data/data/####/lb18.png
- /data/data/####/libao01.png
- /data/data/####/libao09.png
- /data/data/####/libao10.png
- /data/data/####/libnfix.so
- /data/data/####/libshella-2.9.0.2.so
- /data/data/####/libufix.so
- /data/data/####/lizi3.png
- /data/data/####/lizi4.png
- /data/data/####/liziScene.csb
- /data/data/####/local_crash_lock
- /data/data/####/m.png
- /data/data/####/mediumshot1.csb
- /data/data/####/mediumshot1.png
- /data/data/####/mediumshot2.csb
- /data/data/####/mediumshot2.png
- /data/data/####/mediumshot3.png
- /data/data/####/mediumshotPatch.png
- /data/data/####/mix.dex
- /data/data/####/n3Ddx-rriDufCSauciKPcQ==
- /data/data/####/name00.png
- /data/data/####/name01.png
- /data/data/####/name01a.png
- /data/data/####/name01b.png
- /data/data/####/name01c.png
- /data/data/####/name02.png
- /data/data/####/name02a.png
- /data/data/####/name02b.png
- /data/data/####/name02c.png
- /data/data/####/native_record_lock
- /data/data/####/num01.png
- /data/data/####/num02.png
- /data/data/####/paizi00.png
- /data/data/####/paizi01.png
- /data/data/####/paizi02.png
- /data/data/####/paizi03.png
- /data/data/####/paizi04.png
- /data/data/####/paizi05.png
- /data/data/####/paiziAnimation.ExportJson
- /data/data/####/paiziAnimation0.plist
- /data/data/####/paiziAnimation0.png
- /data/data/####/price02.png
- /data/data/####/price06.png
- /data/data/####/price10.png
- /data/data/####/price20.png
- /data/data/####/prospect1.png
- /data/data/####/prospect2.png
- /data/data/####/prospectPatch.png
- /data/data/####/r1.png
- /data/data/####/r2.png
- /data/data/####/r3.png
- /data/data/####/r4.png
- /data/data/####/r5.png
- /data/data/####/r6.png
- /data/data/####/rParticle_11.plist
- /data/data/####/rParticle_12.plist
- /data/data/####/rParticle_3.plist
- /data/data/####/rdata_comjnzefwurhz.new
- /data/data/####/record.csb
- /data/data/####/recordAnimation.ExportJson
- /data/data/####/recordAnimation0.plist
- /data/data/####/recordAnimation0.png
- /data/data/####/recordAnimation1.ExportJson
- /data/data/####/recordword.png
- /data/data/####/renwu01.png
- /data/data/####/renwu02.png
- /data/data/####/renwu03.png
- /data/data/####/renwu04.png
- /data/data/####/renwu05.png
- /data/data/####/renwu06.png
- /data/data/####/rwname01.png
- /data/data/####/rwname02.png
- /data/data/####/rwname03.png
- /data/data/####/rwname04.png
- /data/data/####/rwname05.png
- /data/data/####/rwname06.png
- /data/data/####/rwname07.png
- /data/data/####/rwname08.png
- /data/data/####/rwname09.png
- /data/data/####/rwname10.png
- /data/data/####/rwname11.png
- /data/data/####/rwname12.png
- /data/data/####/rwname13.png
- /data/data/####/rwname14.png
- /data/data/####/rwname15.png
- /data/data/####/rwname16.png
- /data/data/####/rwname17.png
- /data/data/####/rwname18.png
- /data/data/####/rwname19.png
- /data/data/####/rwname20.png
- /data/data/####/rwname21.png
- /data/data/####/rwname22.png
- /data/data/####/rwname28.png
- /data/data/####/rwname29.png
- /data/data/####/rwname30.png
- /data/data/####/rwname31.png
- /data/data/####/rwname32.png
- /data/data/####/rwname33.png
- /data/data/####/rwname34.png
- /data/data/####/rx.jar
- /data/data/####/rx_download.tmp
- /data/data/####/security_info
- /data/data/####/sky.png
- /data/data/####/somebody.csb
- /data/data/####/somebody0.plist
- /data/data/####/somebody0.png
- /data/data/####/tGelb3aSnr1STVw2zWZ9Dw==.new
- /data/data/####/tishiAnimation.ExportJson
- /data/data/####/tishiAnimation0.plist
- /data/data/####/tishiAnimation0.png
- /data/data/####/tree1.png
- /data/data/####/tree2.png
- /data/data/####/txkuai.png
- /data/data/####/txukxq_f.zip
- /data/data/####/uida
- /data/data/####/word01.png
- /data/data/####/word02.png
- /data/data/####/word03.png
- /data/data/####/word04.png
- /data/data/####/word05.png
- /data/data/####/word06.png
- /data/data/####/word07.png
- /data/data/####/word08.png
- /data/data/####/word09.png
- /data/data/####/word10.png
- /data/data/####/word11.png
- /data/data/####/word12.png
- /data/data/####/word13.png
- /data/data/####/word14.png
- /data/data/####/word15.png
- /data/data/####/xingjilu.mp3
- /data/data/####/yan01.png
- /data/data/####/youxib5.png
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-2.9.0.2.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
Загружает динамические библиотеки:
- Bugly
- game
- libnfix
- libshella-2.9.0.2
- libufix
- nfix
- ufix
Использует следующие алгоритмы для шифрования данных:
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-GCM-NoPadding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
Получает информацию об отправленых/принятых SMS.
